Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Глобальный взлом. Сотни серверов по всему миру выдали пароли хакерам в автоматическом режиме

leer en español

Cisco Talos UAT-10608 Next.js React2Shell AWS GitHub кража учётных данных
Глобальный взлом. Сотни серверов по всему миру выдали пароли хакерам в автоматическом режиме
Cisco Talos UAT-10608 Next.js React2Shell AWS GitHub кража учётных данных

Эпоха ручного взлома прошла, теперь тайны воруют в промышленных масштабах.

image

ИБ-специалисты зафиксировали масштабную автоматизированную кампанию по сбору учётных данных, которая за считаные часы затронула сотни серверов по всему миру. Атака развивалась почти без участия человека и опиралась на уязвимость в популярных веб-приложениях, превращая их в источник конфиденциальной информации.

Команда Cisco Talos раскрыла деятельность кластера под обозначением UAT-10608. Злоумышленники атакуют приложения на базе Next.js, используя уязвимость React2Shell (CVE-2025-55182), которая позволяет выполнять код на сервере без авторизации. Через такой вход запускается цепочка автоматических сценариев, которые собирают данные и отправляют их на управляющий сервер.

По данным отчёта, атаке подверглись как минимум 766 узлов. В большинстве случаев злоумышленники извлекали строки подключения к базам данных, SSH-ключи и облачные учётные данные. Примерно у четверти систем удалось получить доступ к ресурсам Amazon Web Services, а также к токенам GitHub и другим сервисам.

В центре инфраструктуры атак находится инструмент NEXUS Listener — веб-приложение с графическим интерфейсом, где агрегируются украденные данные. Панель позволяет просматривать статистику, фильтровать информацию и анализировать скомпрометированные хосты. В одном из случаев доступ к такой панели оказался открыт, что позволило изучить внутреннюю структуру операции.

Сценарий атаки построен поэтапно. После первичного взлома на сервер загружается небольшой загрузчик, который подтягивает основной скрипт. Тот последовательно собирает переменные окружения, ключи доступа, историю команд, данные контейнеров и токены Kubernetes. После каждого этапа информация отправляется на сервер управления.

Полученные данные открывают широкие возможности для дальнейших атак. Украденные ключи платёжных систем позволяют проводить финансовые операции, облачные учётные записи — управлять инфраструктурой, а SSH-ключи — перемещаться между системами внутри одной сети. Отдельный риск связан с доступом к реестрам пакетов, что создаёт угрозу атак на цепочки поставок.

Анализ показывает, что злоумышленники, вероятно, используют автоматическое сканирование интернета, ориентируясь на открытые сервисы и их конфигурации. Такой подход позволяет быстро находить уязвимые системы и масштабировать атаки без ручной работы.

Специалисты уже уведомили пострадавшие стороны и работают с провайдерами для блокировки скомпрометированных данных. Организациям рекомендуют срочно обновить системы, сменить ключи доступа и проверить настройки облачной и контейнерной инфраструктуры.