Глобальный взлом. Сотни серверов по всему миру выдали пароли хакерам в автоматическом режиме
NewsMakerЭпоха ручного взлома прошла, теперь тайны воруют в промышленных масштабах.
ИБ-специалисты зафиксировали масштабную автоматизированную кампанию по сбору учётных данных, которая за считаные часы затронула сотни серверов по всему миру. Атака развивалась почти без участия человека и опиралась на уязвимость в популярных веб-приложениях, превращая их в источник конфиденциальной информации.
Команда Cisco Talos раскрыла деятельность кластера под обозначением UAT-10608. Злоумышленники атакуют приложения на базе Next.js, используя уязвимость React2Shell ( CVE-2025-55182 ), которая позволяет выполнять код на сервере без авторизации. Через такой вход запускается цепочка автоматических сценариев, которые собирают данные и отправляют их на управляющий сервер.
По данным отчёта, атаке подверглись как минимум 766 узлов. В большинстве случаев злоумышленники извлекали строки подключения к базам данных, SSH-ключи и облачные учётные данные. Примерно у четверти систем удалось получить доступ к ресурсам Amazon Web Services , а также к токенам GitHub и другим сервисам.
В центре инфраструктуры атак находится инструмент NEXUS Listener — веб-приложение с графическим интерфейсом, где агрегируются украденные данные. Панель позволяет просматривать статистику, фильтровать информацию и анализировать скомпрометированные хосты. В одном из случаев доступ к такой панели оказался открыт, что позволило изучить внутреннюю структуру операции.
ИБ-специалисты зафиксировали масштабную автоматизированную кампанию по сбору учётных данных, которая за считаные часы затронула сотни серверов по всему миру. Атака развивалась почти без участия человека и опиралась на уязвимость в популярных веб-приложениях, превращая их в источник конфиденциальной информации.
Команда Cisco Talos раскрыла деятельность кластера под обозначением UAT-10608. Злоумышленники атакуют приложения на базе Next.js, используя уязвимость React2Shell ( CVE-2025-55182 ), которая позволяет выполнять код на сервере без авторизации. Через такой вход запускается цепочка автоматических сценариев, которые собирают данные и отправляют их на управляющий сервер.
По данным отчёта, атаке подверглись как минимум 766 узлов. В большинстве случаев злоумышленники извлекали строки подключения к базам данных, SSH-ключи и облачные учётные данные. Примерно у четверти систем удалось получить доступ к ресурсам Amazon Web Services , а также к токенам GitHub и другим сервисам.
В центре инфраструктуры атак находится инструмент NEXUS Listener — веб-приложение с графическим интерфейсом, где агрегируются украденные данные. Панель позволяет просматривать статистику, фильтровать информацию и анализировать скомпрометированные хосты. В одном из случаев доступ к такой панели оказался открыт, что позволило изучить внутреннюю структуру операции.