駭客濫用React2Shell從事自動化攻擊，企圖從網頁應用程式搜刮各式憑證

思科旗下的威脅情報團隊Talos指出，他們發現名為UAT-10608的駭客團體鎖定網頁應用程式下手，從事大規模挖掘憑證的活動，鎖定存在React2Shell的Next.js應用程式，試圖透過漏洞取得初期的存取管道，然後利用自動化指令碼從多種應用程式大規模擷取憑證、SSH金鑰、雲端憑證，以及環境機敏資訊，並傳送憑證至C2伺服器，全球至少有766臺主機遭到入侵，這些伺服器遍布多個地區與雲端服務供應商。

UAT-10608疑似先透過物聯網搜尋引擎Shodan或Censys，以及自行打造的掃描工具，找出能公開存取的Next.js系統，並確認是否能利用React2Shell。一旦確認存在弱點，他們就會透過自動化工具包執行後續流程，藉由HTTP請求傳送有效酬載，在無須身分驗證的情況下送達Server Function端點。接著，伺服器就會對惡意酬載進行反序列化，觸發漏洞於Node.js處理程序，執行攻擊者的程式碼，進一步擷取受害系統存放的憑證資料。

究竟駭客鎖定哪些類型的資料？Talos指出涵蓋正在運作的處理程序環境變數、JavaScript環境變數、SSH金鑰、雲端API的中繼資料、Kubernetes服務帳號的權杖（Token）、Docker的容器組態，以及所有處理程序執行的命令等。

前述提及遭入侵的766臺應用程式伺服器中，存放SSH私鑰的主機比例為78.2%，存放AWS憑證的主機比例為25.6%，值得留意的是，單就存放支付系統Stripe的API金鑰而言，主機比例為11.4%。

特別的是，這次駭客運用名為Nexus Listener的資料收集框架，其功能是將竊得的資料以圖形介面的方式提供給操作員，並具備統計與搜尋的功能，讓他們能透過篩選的方式取得指定的資料。