Campagne automatisée de vol de données via React2Shell

Le groupe de menace UAT-10608 mène une campagne de cybercriminalité à grande échelle exploitant la vulnérabilité « React2Shell » pour compromettre des applications Next.js. En moins de 24 heures, plus de 766 hôtes ont été infectés par le framework « NEXUS Listener », permettant aux attaquants d’exfiltrer massivement des secrets et des accès critiques.

Points clés

• Mode opératoire : Analyse automatisée des applications Next.js vulnérables suivie de l’exécution d’un script de récolte stocké dans les répertoires temporaires.
• Exfiltration : Les données volées (clés API, identifiants cloud, jetons Kubernetes, clés SSH, etc.) sont transmises en temps réel vers un serveur de commande et contrôle (C2) via le port 8080.
• Impact : Accès aux infrastructures cloud, bases de données et systèmes de paiement, facilitant le mouvement latéral et les attaques sur la chaîne d’approvisionnement.

Vulnérabilité

• CVE-2025-55182 (React2Shell) : Permet l’exécution de code JavaScript arbitraire sur les applications Next.js non corrigées.

Recommandations

• Mise à jour : Appliquer immédiatement les correctifs de sécurité pour la vulnérabilité React2Shell.
• Gestion des accès : Effectuer une rotation immédiate de toutes les clés API, jetons et identifiants en cas de compromission suspectée ; appliquer le principe du moindre privilège.
• Durcissement cloud : Forcer l’utilisation d’AWS IMDSv2 et renouveler les clés SSH réutilisées.
• Sécurité proactive : Déployer des solutions WAF (Web Application Firewall) ou RASP (Runtime Application Self-Protection) adaptées à Next.js et mettre en place des outils de détection de secrets (secret scanning) dans les pipelines de développement.
• Audit : Examiner les serveurs pour détecter toute exposition accidentelle de données sensibles ou de fichiers de configuration.

Source