Hack Alerta

Botnet RondoDox explora React2Shell e compromete servidores Next.js

Por Redação Hack Alerta Publicado em 31/12/2025 12:01 Riscos e Ameaças Tempo de leitura: 3 min

A botnet RondoDox está explorando ativamente a vulnerabilidade React2Shell (CVE-2025-55182) em servidores Next.js para instalar malware e mineradores. A exploração automatizada pode causar degradação de performance e comprometimento de integridade; equipes devem aplicar patches, monitorar anomalias e isolar instâncias suspeitas.

Botnet RondoDox explora React2Shell e compromete servidores Next.js

Relatórios indicam que a botnet RondoDox vem explorando ativamente a falha conhecida como React2Shell (CVE-2025-55182) para infectar servidores que executam aplicações Next.js, entregando malware e mineradores de criptomoedas.

O que foi observado

Pesquisadores e postagens de monitoramento de segurança observaram tentativas de exploração automatizadas contra endpoints Next.js que são vulneráveis ao React2Shell. A exploração resulta na execução remota de código, permitindo que o operador instale cargas maliciosas — entre elas, cryptominers e componentes usados para manter a presença (backdoors).

Vetor e tráfego observado

Segundo o relatório, o vetor aproveita uma cadeia de processamento de pacotes do framework que permite execução de cargas manipuladas via requisições específicas. Bots conectados à infraestrutura RondoDox varrem alvos, identificam instâncias vulneráveis de Next.js e enviam payloads que instalam binários ou scripts para mineração e para inclusão em redes de comando e controle.

Impacto e alcance

Embora não haja um inventário público completo dos sistemas afetados, a natureza automatizada do ataque — varredura em larga escala seguida de entrega de payload — indica potencial para impacto massivo em aplicações web que não aplicaram correções. Em cenário real, organizações podem sofrer degradação de performance, consumo elevado de CPU/disk por cryptominers e comprometimento de integridade de aplicações.

Mitigações e recomendações

  • Aplicar atualizações: mantenha Next.js e bibliotecas relacionadas atualizadas conforme avisos oficiais e boletins de segurança.
  • Monitorar anomalias: sistemas com uso de CPU/IO incomum, novas conexões salientes ou arquivos binários recém-criados devem ser investigados.
  • Segmentação e EDR: isole instâncias suspeitas e utilize EDR/IDS para detectar padrões de exploração e persistência.
  • Resposta: em caso de confirmação, capture artefatos, preserve logs e considere reset de credenciais e análise forense para avaliar exfiltração.

O que falta e incertezas

As fontes confirmam exploração ativa, mas não publicaram um número consolidado de vítimas nem lista de versões afetadas detalhada no corpo do texto. Não há, no material consultado, indicação de vínculo com campanhas de ransomware ou exfiltração de dados além da instalação de mineradores e malware de controle remoto.

Repercussão

A exploração ativa de uma falha em frameworks amplamente usados em produção aumenta o risco para provedores de serviços e empresas que delegam front‑end e aplicações server‑side a Next.js. Times de segurança e infra devem priorizar checagens de integridade e aplicar patches.

Fonte: BleepingComputer.

Baseado em publicação original de BleepingComputer
Tags: #nextjs #botnet #react2shell #malware #cryptominer #exploit #web #servidores #incidente
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar