Pesquisadores de cibersegurança descobriram uma campanha sofisticada visando aplicações **Next.js** vulneráveis ao exploit **React2Shell** (CVE-2025-55182). A operação, atribuída pela **Cisco Talos** a um cluster de ameaças rastreado como UAT-10608, utiliza um framework automatizado chamado **NEXUS Listener** para coletar credenciais e dados sensíveis de sistemas comprometidos. ### Comprometimento Generalizado Pelo menos 766 hosts em vários provedores de nuvem e localizações geográficas foram comprometidos. Os atacantes estão focados em coletar credenciais de banco de dados, credenciais da **Amazon Web Services (AWS)**, chaves privadas SSH, chaves de API, tokens de nuvem e segredos de ambiente. ### NEXUS Listener: A Ferramenta Automatizada de Coleta O framework **NEXUS Listener** automatiza o processo de extração e exfiltração de dados sensíveis. A **Cisco Talos** obteve acesso a uma instância exposta do framework, fornecendo insights sobre sua funcionalidade e o escopo dos dados sendo coletados.  **O painel principal do Nexus Listener** *Fonte: Cisco Talos* ### Cadeia de Ataque: Da Vulnerabilidade à Exfiltração O ataque começa com a varredura automatizada de aplicações **Next.js** vulneráveis. Uma vez que um alvo vulnerável é identificado, a vulnerabilidade **React2Shell** é explorada para implantar um script de coleta de credenciais multifásico no diretório temporário padrão. Os dados roubados incluem: * Variáveis de ambiente e segredos (chaves de API, credenciais de banco de dados, tokens GitHub/GitLab) * Chaves SSH * Credenciais de nuvem (metadados **AWS**/GCP/Azure, credenciais IAM) * Tokens Kubernetes * Informações Docker/container * Histórico de comandos * Dados de processos e tempo de execução Essas informações sensíveis são então exfiltradas em pedaços via requisições HTTP pela porta 8080 para um servidor de comando e controle (C2) executando o componente **NEXUS Listener**. Os atacantes obtêm uma visão detalhada dos dados, incluindo capacidades de busca, filtragem e análise estatística.  **Volume de segredos coletados na campanha** *Fonte: Cisco Talos* ### Impacto e Recomendações As credenciais roubadas podem permitir que os atacantes realizem tomadas de conta de contas na nuvem, acessem bancos de dados, sistemas de pagamento e lancem ataques à cadeia de suprimentos. Chaves SSH comprometidas facilitam o movimento lateral dentro de redes comprometidas. A **Cisco** enfatiza as potenciais consequências regulatórias decorrentes da exposição de informações de identificação pessoal. Para mitigar o risco, a **Cisco Talos** recomenda o seguinte: * Aplicar atualizações de segurança para **React2Shell**. * Auditar a exposição de dados no lado do servidor. * Rotacionar imediatamente todas as credenciais se houver suspeita de comprometimento. * Impor **AWS** IMDSv2. * Substituir quaisquer chaves SSH reutilizadas. * Habilitar a varredura de segredos. * Implantar proteções WAF/RASP para aplicações **Next.js**. * Impor o princípio do menor privilégio em contêineres e funções de nuvem. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> Pentest Automatizado Cobre Apenas 1 de 6 Superfícies. Pentest automatizado prova que o caminho existe. BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro. Este whitepaper mapeia seis superfícies de validação, mostra onde a cobertura termina e fornece aos profissionais três perguntas diagnósticas para qualquer avaliação de ferramenta.