Hackers exploram React2Shell em campanha automatizada de roubo de credenciais
Uma campanha cibernética de larga escala está explorando a vulnerabilidade React2Shell (CVE-2025-55182) em aplicativos Next.js, permitindo o roubo automatizado de credenciais e dados sensíveis. A operação, identificada pela equipe da Cisco Talos, já comprometeu pelo menos 766 servidores hospedados em diferentes provedores de nuvem em apenas 24 horas.
Como a falha React2Shell foi explorada
O ataque começa com a varredura automatizada de sites que utilizam versões vulneráveis de Next.js. Assim que a falha React2Shell é detectada, os invasores injetam rotinas de execução de código remoto (RCE) que implantam scripts maliciosos para coletar variáveis de ambiente, tokens de API, e chaves privadas SSH. Esses scripts são armazenados no diretório temporário do sistema e executam uma sequência de fases de exfiltração de dados.
Esses dados incluem credenciais de bancos de dados, contas da AWS e Google Cloud, informações de containers Docker, tokens Kubernetes e históricos de comandos. As informações são enviadas em blocos via HTTP (porta 8080) para um servidor de comando e controle (C2) que utiliza o framework NEXUS Listener.
O papel do NEXUS Listener
A plataforma NEXUS Listener fornece aos atacantes uma interface completa para monitorar e pesquisar os dados roubados, além de gerar estatísticas de sistemas comprometidos. A Cisco Talos conseguiu acesso a uma instância exposta deste painel, o que permitiu analisar o escopo e o funcionamento da infraestrutura maliciosa.
Segundo o relatório da Cisco Talos, o sistema exibia o total de 766 hosts comprometidos em 24 horas, bem como métricas detalhadas sobre o número de credenciais coletadas, uptime da aplicação e distribuição de tipos de dados sensíveis.
Riscos e possíveis consequências
O roubo de credenciais possibilita invasão de contas em nuvem, acesso não autorizado a bancos de dados e sistemas de pagamento, e até o uso dos recursos para ataques de cadeia de suprimentos. Além disso, chaves SSH comprometidas podem permitir movimentação lateral em redes corporativas.
O impacto regulatório também é grave, já que dados pessoais identificáveis podem ser expostos, configurando violações de leis de privacidade, como GDPR.
Medidas de mitigação recomendadas
- Aplicar imediatamente as atualizações de segurança do React2Shell em aplicativos Next.js vulneráveis.
- Auditar exposições de dados em servidores e revisar logs de acessos suspeitos.
- Rotacionar todas as credenciais e chaves privadas afetadas.
- Ativar o uso do AWS IMDSv2 e eliminar chaves SSH reutilizadas.
- Implementar varredura automatizada de segredos e reforçar políticas de least privilege.
- Adicionar proteções de WAF e RASP específicas para frameworks Node.js/Next.js.
Análise dos especialistas
Especialistas da Cisco Talos destacam que este tipo de automação reflete a profissionalização de grupos de cibercrime. Ao automatizar o ciclo completo — detecção de vulnerabilidade, exploração e coleta de credenciais — os atacantes conseguem ampla escala com baixo custo operacional.
“A sofisticação dessa campanha mostra que o cibercrime está adotando abordagens de automação cada vez mais avançadas para maximizar o impacto das vulnerabilidades de código aberto”.
Cisco Talos, 2026
Esse tipo de ataque serve de alerta para empresas que utilizam frameworks populares, como React e Next.js, que muitas vezes dependem de bibliotecas terceirizadas sem verificação contínua de segurança.
Impacto global e próximos passos
O incidente reforça a necessidade de práticas sólidas de DevSecOps. A comunidade de segurança recomenda o uso de análises estáticas e dinâmicas de código, autenticação multifator e monitoramento automatizado de credenciais expostas. Espera-se que o framework React2Shell receba patches adicionais nos próximos meses, bem como auditorias de segurança mais amplas em componentes dependentes do Next.js.
FAQ sobre a vulnerabilidade React2Shell
O que é a vulnerabilidade React2Shell?
A React2Shell é uma falha crítica de execução remota de código descoberta em aplicativos Next.js, permitindo que atacantes executem JavaScript malicioso diretamente no servidor e acessem variáveis de ambiente sensíveis.
Como saber se meu sistema foi comprometido?
É essencial verificar logs de acesso, processos ativos e conexões HTTP suspeitas na porta 8080. Ferramentas de varredura de vulnerabilidades podem detectar artefatos do exploit React2Shell.
Que medidas posso tomar para mitigar ataques via React2Shell?
Aplique as atualizações oficiais da Next.js, rotacione todas as chaves e tokens, e habilite verificação de IMDSv2 na AWS. O uso de WAFs e RASP ajuda a bloquear execuções não autorizadas.
Considerações finais
A exploração da vulnerabilidade React2Shell evidencia como falhas em frameworks populares podem ser usadas em campanhas automatizadas com impacto global. As recomendações da Cisco Talos reforçam a urgência de manter um ciclo contínuo de atualização e auditoria em aplicações web. A prevenção depende não apenas de patches rápidos, mas também da integração de segurança no desenvolvimento desde o início.
Fonte: bleepingcomputer
