一場全球跨行業的憑證竊取活動正在利用容易受到React2Shell攻擊的面向公眾的 Web 應用程序，然後部署自動化收集工具來竊取憑證和其他有價值的系統數據，以進行進一步的惡意活動。

思科 Talos 的研究人員發現了這一攻擊活動，他們將其歸因於一個名為 UAT-10608 的威脅集群，該集群使用名為「NEXUS Listener」的自動化憑證收集框架。該報告於上週發布。思科分析師 Asheer Malhotra 和 Brandon White 在貼文中寫道：“截至發稿時，這種系統性的攻擊和資料外洩活動已導致至少 766 台主機遭到入侵，涉及多個地理區域和雲端提供者。”

攻擊者利用 Next.js Web 應用程式中存在的CVE-2025-55182漏洞——一種名為 React2Shell 的遠端程式碼執行 (RCE) 漏洞（最初於去年底被發現並被廣泛利用）——來獲取對受害者網路的初始存取權。 React2Shell 漏洞會影響 React 伺服器元件 (RSC)，一旦被利用，受影響的端點即可在未進行充分驗證或清理的情況下，反序列化來自入站 HTTP 請求的有效負載。

國防建議

防禦 UAT-10608 的憑證竊取活動首先要修補所有 Next.js 部署中的CVE-2025-55182，考慮到攻擊仍在繼續，許多受影響的組織仍然沒有這樣做。

研究人員表示，防禦者還應輪換所有可能暴露的憑證和 API 金鑰，強制執行最小權限原則，並避免重複使用 SSH 金鑰，以減輕類似威脅群集發起的惡意活動。此外，他們還應限制對雲端元資料服務的存取，實施金鑰掃描，並監控異常活動，以避免系統遭到入侵。安全團隊還可以調查針對 Web 應用程式主機的 UAT-10608 攻擊的具體痕跡，包括以下內容：從 /tmp/ 產生的具有隨機點前綴名稱的意外進程、進程列表中與已知應用程式工作流程無關的 nohup 呼叫、從應用程式容器到非生產端點的異常出站 HTTP/S 連線，以及 16S 的密鑰表示法。

資料來源：https://www.darkreading.com/cyberattacks-data-breaches/automated-credential-harvesting-campaign-react2shell