Az adatlopás új hulláma célkeresztbe vett 766 Next.js szervert

Automatizált adatgyűjtés könnyíti meg a támadók dolgát

A támadás automatizált kereséssel indul: a botok sebezhető Next.js-alkalmazásokat térképeznek fel a világ különböző pontjain, majd több lépésből álló adatexfiltrációs szkriptet helyeznek el a kiszolgálókon. Nem hagyható figyelmen kívül, hogy a NEXUS Listener keretrendszer lehetővé teszi a támadók számára, hogy sebezhető szerverekről titkos kulcsokat, környezeti változókat, felhőazonosítókat, Kubernetes- és Docker-információkat, futási naplókat és parancstörténetet emeljenek ki. Az összegyűjtött adatokat HTTP-n, a 8080-as porton keresztül továbbítják az irányító szerverükre, ahol részletes statisztikákat is látnak az ellopott jogosultságokról és a kompromittált hostokról.

Milyen veszélyekkel járhat a támadás?

Mindez azt jelenti, hogy az ellopott adatokkal a támadók könnyen átvehetik az irányítást teljes felhőfiókok, adatbázisok, pénzügyi rendszerek felett, vagy akár ellátási lánc elleni támadásokat is megindíthatnak. Kritikus, hogy a privát SSH-kulcsok birtokában a támadók más szerverekre is továbbléphetnek, így az egész infrastruktúrát elérhetik. A kiszivárgott személyes adatok miatt a cégek komoly jogi problémákba is ütközhetnek.

Mit lehet tenni védekezésként?

A szakértők szerint azonnal telepíteni kell a React2Shell biztonsági frissítését, auditálni a szerveroldali adathozzáféréseket, és az összes jelszót, kulcsot lecserélni, ha gyanú merül fel kompromittálódásra. Fontos az AWS IMDSv2 kikényszerítése, az SSH-kulcsok újragenerálása, valamint a titkosszivárgást felismerő eszközök és a Next.js-hez illeszkedő WAF- vagy RASP-megoldások telepítése is. Emellett érdemes minden felhőszerepkört és konténert minimális jogosultsággal futtatni a károk csökkentése érdekében.

2026, adrienne, www.bleepingcomputer.com alapján