Cisco Talos盯上了一个叫UAT-10608的威胁团伙。 他们瞄准Next.js应用。 漏洞CVE-2025-55182,CVSS分数10.0,满分级别的严重货色。 黑客先用这个React Server Components和Next.js App Router的破绽搞远程代码执行。 然后丢下一个dropper。 多阶段脚本就开始狂捞数据。 环境变量?JSON解析后打包带走。 SSH私钥和authorized_keys文件,一锅端。 Shell命令历史记录,全抄。 Kubernetes服务账号令牌,Docker容器配置,包括运行容器、镜像、暴露端口、网络设置、挂载点和环境变量,全数收入囊中。 API密钥、IAM角色临时凭证,通过查询实例元数据服务,从AWS、Google Cloud、Microsoft Azure全挖。 运行进程列表,也没放过。 766个主机,中招了。 跨多个地区,云提供商遍地开花。
这帮家伙的C2服务器上跑着NEXUS Listener。 V3版本。 网页GUI,密码保护。 操作员点开,就能搜刮所有偷来的情报。 统计面板亮眼:compromised主机数,每个凭证类型的总数。 浏览受害主机列表,应用在线时间一目了然。 Talos搞到一份未认证实例的数据。 里面有Stripe API密钥。 OpenAI、Anthropic、NVIDIA NIM的AI平台密钥。 SendGrid、Brevo通信服务令牌。 Telegram机器人令牌、webhook secrets、GitHub和GitLab令牌、数据库连接串,应有尽有。 想想那些Next.js部署。 公网暴露。 黑客很可能用Shodan、Censys或自家扫描器,自动化扫荡。 一探就中。
受害者广撒网。 不挑食。 自动化扫描痕迹明显。 黑客不光要单凭证。 他们拼出受害组织的地图。 跑啥服务,配置如何,用哪家云,三方集成全曝光。 这情报值钱。 后续攻击、社会工程、转手卖access,门儿清。 加密市场这会儿正晃荡,BTC现报$66,975(24h -1.68%),ETH $2,069(24h -3.00%)。 多少DeFi项目、Web3应用靠Next.js搭前端。 一漏洞,就把密钥拱手让人。 Stripe密钥丢了,支付链条断。 GitHub令牌泄露,代码库任人宰割。 AI密钥外流,模型调用随便刷。
企业得醒醒。 审计环境,least privilege原则硬上。 开启密钥扫描,别重复用SSH密钥对。 AWS EC2全推IMDSv2。 疑似中招,赶紧轮换凭证。 Next.js开发者,升级补丁啊。 这CVE-2025-55182不是新鲜玩意儿。 766主机躺枪,还在长? 行业痛点。 云时代,公网服务一多,扫描器如狼群。 黑客工具迭代飞快,NEXUS Listener都V3了。 你家Next.js部署,端口开了没? 环境变量藏密钥? Shell历史清了没? 这些低级失误,酿大祸。 Talos报告甩出来,就是警钟。 766不是终点。 扫描继续,受害者还会多。 开发团队,运维小哥,行动起来。 别等C2面板上看见自家数据。