Një operacion i grumbullimit të kredencialeve në shkallë të gjerë është vëzhguar duke shfrytëzuar cenueshmërinë React2Shell si një vektor fillestar infeksioni për të vjedhur kredencialet e bazës së të dhënave, çelësat privatë SSH, sekretet e Shërbimeve Ueb të Amazon (AWS), historikun e komandave të guaskës, çelësat Stripe API dhe shenjat GitHub në shkallë.

Cisco Talos ia atribuon operacionin një grupi kërcënimesh që ai gjurmon si UAT-10608. Të paktën 766 hoste që përfshijnë rajone të shumta gjeografike dhe ofrues të reve kompjuterike janë komprometuar si pjesë e aktivitetit.

“Past-kompromis, UAT-10608 përdor skriptet e automatizuara për nxjerrjen dhe ekfiltrimin e kredencialeve nga një sërë aplikacionesh, që më pas postohen në komandën dhe kontrollin e tij (C2)”, studiuesit e sigurisë  Asheer Malhotra dhe Brandon White tha në një raport të ndarë me The Hacker News përpara publikimit.

“C2 pret një ndërfaqe grafike të përdoruesit (GUI) të bazuar në ueb të titulluar “Dëgjuesi NEXUS” që mund të përdoret për të parë informacionin e vjedhur dhe për të fituar njohuri analitike duke përdorur statistika të parapërpiluara mbi kredencialet e mbledhura dhe hostet e komprometuar.”

Fushata është vlerësuar se synon aplikacionet Next.js që janë të cenueshme ndaj CVE-2025-55182 (Rezultati CVSS: 10.0), një defekt kritik në React Server Components dhe Next.js App Router që mund të rezultojë në ekzekutimin e kodit në distancë, për aksesin fillestar dhe më pas heqjen e kornizës së koleksionit NEXUS Degjues.

Kjo realizohet me anë të një pikatore që vazhdon të vendosë një skript grumbullimi shumëfazor që mbledh detaje të ndryshme nga sistemi i komprometuar –

  • Variablat e mjedisit
  • Mjedisi i analizuar nga JSON nga koha e ekzekutimit të JS
  • Çelësat privatë SSH dhe çelësat e autorizuar
  • Historia e komandës së Shell
  • Shenjat e llogarisë së shërbimit Kubernetes
  • Konfigurimet e kontejnerëve Docker (kontejnerët që funksionojnë, imazhet e tyre, portat e ekspozuara, konfigurimet e rrjetit, pikat e montimit dhe variablat e mjedisit)
  • Çelësat API
  • Kredencialet e përkohshme të lidhura me rolin IAM duke pyetur Shërbimin e Metadatave të Instancës për AWS, Google Cloud dhe Microsoft Azure
  • Proceset e ekzekutimit

Kompania e sigurisë kibernetike tha se gjerësia e grupit të viktimës dhe modeli i synimeve pa dallim përputhen me skanimin e automatizuar, me gjasë duke shfrytëzuar shërbime si Shodan, Censys ose skanerë të personalizuar, për të identifikuar vendosjet e Next.js të arritshme publikisht dhe për t’i hetuar ato për cenueshmërinë.

Në qendër të kornizës është një aplikacion ueb i mbrojtur me fjalëkalim që i bën të gjitha të dhënat e vjedhura të disponueshme për operatorin nëpërmjet një ndërfaqeje grafike të përdoruesit që përmban aftësi kërkimi për të shoshitur informacionin.

“Aplikacioni përmban një listë të disa statistikave, duke përfshirë numrin e hosteve të komprometuar dhe numrin total të secilit lloj kredenciali që u nxor me sukses nga ato hoste,” tha Talos. “Aplikacioni ueb lejon një përdorues të shfletojë të gjithë hostet e komprometuar. Ai gjithashtu liston kohën e funksionimit të vetë aplikacionit.”

Versioni aktual i Dëgjuesit NEXUS është V3, që tregon se mjeti i është nënshtruar përsëritjeve thelbësore të zhvillimit përpara se të arrijë në fazën aktuale.

Talos, i cili ishte në gjendje të merrte të dhëna nga një shembull i paautentikuar i NEXUS Dëgjues, tha se përmbante çelësa API të lidhur me Stripe, platformat e inteligjencës artificiale (OpenAI, Anthropic dhe NVIDIA NIM), shërbimet e komunikimit (SendGrid dhe Brevo), së bashku me tokenat e bot-it të Telegram, sekretet e të dhënave të uebhook, GitHub tokeningsse dhe GitHub të tjera, lidhjet e aplikacioneve dhe GitL.

Operacioni i gjerë i mbledhjes së të dhënave thekson se si aktorët e këqij mund të armatizojnë aksesin tek hostet e komprometuar për të organizuar sulme pasuese. Organizatat këshillohen të auditojnë mjediset e tyre për të zbatuar parimin e privilegjit më të vogël, për të mundësuar skanimin sekret, për të shmangur ripërdorimin e çifteve të çelësave SSH, për të zbatuar zbatimin e IMDSv2 në të gjitha rastet e AWS EC2 dhe për të rrotulluar kredencialet nëse dyshohet për kompromis.

“Përtej vlerës së menjëhershme operacionale të kredencialeve individuale, grupi i të dhënave totale përfaqëson një hartë të detajuar të infrastrukturës së organizatave viktima: cilat shërbime ato përdorin, si janë konfiguruar, çfarë ofruesish cloud përdorin dhe çfarë integrimesh të palëve të treta janë në vend,” thanë studiuesit.

“Kjo inteligjencë ka vlerë të konsiderueshme për krijimin e sulmeve të synuara pasuese, fushatave të inxhinierisë sociale ose shitjes së aksesit ndaj aktorëve të tjerë të kërcënimit.”