Uma campanha de ciberataques de alta velocidade está atingindo aplicações web em todo o mundo, explorando uma falha de segurança crítica conhecida como React2Shell. O alvo principal são sites construídos com o framework Next.js, que utiliza React Server Components (RSC). Em um período de apenas 24 horas, os atacantes conseguiram invadir 766 servidores e exfiltrar grandes quantidades de dados sensíveis, incluindo senhas, chaves de nuvem e credenciais de banco de dados.
Descoberta e escopo do ataque
A vulnerabilidade central deste ataque é o CVE-2025-55182, amplamente conhecido como React2Shell. Classificada com uma pontuação de severidade máxima de 10.0 na escala CVSS, a falha reside no protocolo Flight do React Server Components, especificamente na forma como um servidor React processa solicitações HTTP para endpoints de funções de servidor. Uma única solicitação HTTP manipulada é suficiente para que um atacante execute código no servidor sem necessidade de autenticação.
O Next.js também recebeu um número de rastreamento separado, CVE-2025-66478, devido à sua exposição significativa a jusante a esta falha. Pesquisadores da Cisco Talos identificaram esta operação automatizada e a vincularam a um cluster de ameaças que agora rastreiam como UAT-10608.
Vetor e exploração técnica
A campanha é sistemática e indiscriminada, com os atacantes utilizando serviços de varredura como Shodan ou Censys para varrer a internet em busca de implantações do Next.js publicamente acessíveis que executam versões vulneráveis dos React Server Components. Uma vez que um alvo é localizado, todo o ataque é executado automaticamente, não exigindo interação manual após o disparo inicial do exploit.
O ataque começa quando um endpoint vulnerável é identificado e uma única solicitação HTTP maliciosa é enviada para o endpoint de função de servidor RSC. O servidor desserializa o payload manipulado e executa código arbitrário, deixando um script de shell leve em um diretório temporário com um nome de arquivo aleatório para permanecer oculto. Esse dropper então recupera um script de coleta de credenciais em várias fases da infraestrutura do atacante.
Impacto e alcance
A escala de danos é significativa. Em várias regiões geográficas e provedores de nuvem, incluindo AWS, Google Cloud e Microsoft Azure, pelo menos 766 hosts foram confirmados como comprometidos em uma única janela de 24 horas. O material roubado incluiu strings de conexão de banco de dados, chaves privadas SSH, tokens de acesso à nuvem, tokens do GitHub, chaves secretas ao vivo do Stripe, credenciais de conta de serviço do Kubernetes, variáveis de ambiente e históricos de comandos de shell.
Mais de 10.120 arquivos foram coletados no total dos sistemas comprometidos. O alcance desta campanha vai muito além da tomada de conta imediata. Vários hosts violados expuseram arquivos de autenticação de registro de pacotes, incluindo arquivos de configuração npm e pip que carregavam credenciais de registro. Se os atacantes usarem esses tokens para empurrar versões maliciosas de pacotes de software confiáveis, o dano pode atingir qualquer organização que instale esses pacotes, transformando isso em uma verdadeira ameaça de cadeia de suprimentos.
O NEXUS Listener: Como os dados roubados são controlados
Para gerenciar o fluxo de informações roubadas que vazam de centenas de servidores, o UAT-10608 implantou um framework de comando e controle personalizado chamado NEXUS Listener. Esta plataforma baseada na web, atualmente na versão 3, fornece aos operadores um painel gráfico onde podem navegar por hosts comprometidos, classificar credenciais roubadas por categoria, revisar estatísticas de colheita e verificar quantas credenciais foram extraídas com sucesso em cada fase do ataque.
Cada fase coleta um tipo diferente de dados, desde chaves SSH e tokens de nuvem até senhas de banco de dados, e relata de volta ao servidor C2 NEXUS Listener na porta 8080, incluindo o nome do host da vítima e um identificador de fase. Nenhuma interação humana adicional é necessária, o que explica como o UAT-10608 invadiu centenas de sistemas tão rapidamente.
Medidas de mitigação recomendadas
Organizações que executam Next.js com App Router ou qualquer implementação de React Server Components devem aplicar patches para a versão mais recente disponível sem demora. Todas as chaves secretas em ambientes potencialmente afetados, incluindo chaves AWS, senhas de banco de dados, chaves SSH, tokens de API e tokens do GitHub, devem ser rotacionadas imediatamente.
As equipes devem auditar containers para funções excessivamente permissivas, impor IMDSv2 em instâncias de nuvem e parar de reutilizar pares de chaves SSH em diferentes sistemas. Monitorar o tráfego HTTP de saída de containers de aplicativos, especialmente conexões inesperadas a IPs desconhecidos na porta 8080, é um passo prático e importante para capturar uma violação ativa cedo.
O que os CISOs devem fazer imediatamente
1. Atualize o Next.js e o React para as versões mais recentes que corrigem o CVE-2025-55182 e CVE-2025-66478. 2. Revise os logs de acesso do servidor em busca de solicitações HTTP incomuns para endpoints de função de servidor. 3. Rotacione todas as credenciais e chaves de API que possam ter sido expostas em ambientes de produção. 4. Implemente monitoramento de tráfego de saída para detectar conexões à porta 8080 ou domínios suspeitos associados ao NEXUS Listener.