Hackers exploit React2Shell in automated credential theft campaign
2026/04/05 BleepingComputer — Next.js アプリケーションに存在する脆弱性 React2Shell (CVE-2025-55182) を悪用する攻撃者たちが、自動化された大規模クレデンシャル窃取キャンペーンを実行している。複数のクラウド・プロバイダーおよび地域において、少なくとも 766 件のホストが侵害され、AWS クレデンシャル/SSH 秘密鍵/API キー/クラウドトークン/環境シークレットなどが収集されている。
この攻撃で用いられる、NEXUS Listener というフレームワークの自動化されたスクリプトにより、各種アプリケーションから機密情報が抽出され、外部へと送信される。
この活動について、Cisco Talos は、UAT-10608 として追跡される脅威クラスターに帰属させている。研究者たちは、公開状態であった NEXUS Listener インスタンスへアクセスし、収集されるデータ内容と Web アプリケーションの動作を解析した。
Source: Cisco Talos
自動シークレット収集
この攻撃は、脆弱な Next.js アプリケーションに対する自動スキャンから開始される。React2Shell 脆弱性を悪用して侵入した後に、標準テンポラリ・ディレクトリ上に多段階のクレデンシャル収集スクリプトが配置される。
Cisco Talos によると、収集対象データには以下が含まれる:
- 環境変数およびシークレット (API キー/データベース・クレデンシャル/GitHub トークン/GitLab トークン)
- SSH 鍵
- クラウド・クレデンシャル (AWS/GCP/Azure メタデータ/IAM クレデンシャル)
- Kubernetes トークン
- Docker コンテナ情報
- コマンド履歴
- プロセス/ランタイム・データ
収集された機密データは分割された後に、HTTP リクエスト (ポート 8080) を介して NEXUS Listener を実行する C2 サーバへと送信される。この攻撃者は、ダッシュボードを利用することで、収集したデータに対する検索やフィルタリングを行い、詳細な統計値などを表示できる。
Cisco Talos は、「このアプリケーションは、侵害したホスト数に加えて、抽出済みクレデンシャルの種類と総数などの統計値を表示する。また、標的アプリケーションの稼働時間も確認できる。今回のケースでは、24 時間以内に 766 ホストの侵害に成功している」と報告している。
Source: Cisco Talos
防御対策
窃取したシークレットを悪用する攻撃者たちは、クラウド・アカウント乗っ取り/データベース/決済システム/各種サービスへのアクセスを達成し、サプライチェーン攻撃の足掛かりを確立する。特に SSH 鍵に関しては、ネットワーク内での横展開に悪用される可能性がある。
個人識別情報などのデータ漏洩により、プライバシー法違反というコンプライアンス・リスクも発生し得ると、Cisco Talos は指摘している。
推奨対策は以下の通りである:
- React2Shell に対するセキュリティ・アップデートを適用する
- サーバサイド・データ露出の監査を実施する
- 侵害の疑いがある場合には、全クレデンシャルを即時ローテーションする
- AWS IMDSv2 を強制し、再利用された SSH 鍵を置換する
- シークレット・スキャンを有効化する
- Next.js に対して WAF/RASP 保護を導入する
- コンテナ/クラウド・ロールに最小権限の原則を適用する
これらの対策により、被害範囲の拡大を抑制できる。
訳者後書:このキャンペーンの背景にあるのは、Next.js アプリケーションに存在する React2Shell (CVE-2025-55182) という脆弱性の悪用です。この脆弱性を通じてサーバーへ侵入した攻撃者は、NEXUS Listener という自動化ツールを用いて、API キーや SSH 秘密鍵などの機密情報を窃取します。この脆弱性が放置されていると、厳重に管理されるべき環境変数やトークンが、外部へ送信される経路を作られてしまいます。フレームワークのアップデートを怠ると、自分たちの管理するサーバが情報の収集場所になってしまうリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、React2Shell での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.