Des pirates informatiques exploitent la vulnérabilité CVE-2025-55182 pour compromettre 766 serveurs Next.js et dérober des identifiants.

Une opération de collecte d’identifiants à grande échelle a été observée, exploitant la vulnérabilité de React2Shell comme vecteur d’infection initial pour voler à grande échelle des identifiants de base de données, des clés privées SSH, des secrets Amazon Web Services (AWS), l’historique des commandes shell, des clés API Stripe et des jetons GitHub.

Cisco Talos a attribué cette opération à un groupe de menaces qu’il suit sous la désignation UAT-10608 . Au moins 766 hôtes répartis dans plusieurs régions géographiques et chez différents fournisseurs de cloud ont été compromis lors de cette activité.

« Après la compromission, UAT-10608 exploite des scripts automatisés pour extraire et exfiltrer des informations d’identification à partir de diverses applications, qui sont ensuite publiées sur son serveur de commande et de contrôle (C2) », ont déclaré les chercheurs en sécurité Asheer Malhotra et Brandon White dans un rapport partagé avec The Hacker News avant sa publication.

« Le C2 héberge une interface utilisateur graphique (GUI) basée sur le Web, intitulée « NEXUS Listener », qui peut être utilisée pour visualiser les informations volées et obtenir des analyses à l’aide de statistiques précompilées sur les identifiants collectés et les hôtes compromis. »