• 發布單位:TWCERT/CC
• 更新日期:2026-04-30
• 點閱次數:211

思科旗下資安威脅情報與研究團隊 Cisco Talos 近日揭露，一個被追蹤為「UAT-10608」的威脅叢集，正針對暴露於網路的Next.js應用程式發動大規模自動化憑證竊取行動。該組織利用去年底備受關注的 React2Shell 漏洞（CVE-2025-55182），結合名為「NEXUS Listener」的自動化資料蒐集框架，在短時間內入侵全球至少766台主機，影響範圍橫跨多個地區與雲端服務供應商。

React2Shell（CVE-2025-55182）為一項高風險 RCE 漏洞，允許未經驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼，影響 React 與 Next.js 等主流前端框架。報告指出，UAT-10608 的攻擊具高度系統化特徵，先透過 Shodan、Censys 或自訂掃描器大規模探測暴露於公開網路的 Next.js環境；確認存在漏洞後，即向 Server Function 端點發送惡意序列化酬載，於伺服器端 Node.js 程序中執行任意程式碼。

取得初始存取權限後，攻擊者會在系統 /tmp 目錄下植入隨機命名的 Shell 指令碼，並透過 nohup 指令執行，展開自動化資料蒐集。竊取內容涵蓋帳號憑證（如 SSH 金鑰與各類存取令牌）、雲端與容器環境資訊（如 Kubernetes 與雲端 metadata）、系統環境參數（如環境變數），以及操作歷史與程序執行資訊等敏感資料。

外洩資料會回傳至C2基礎設施並儲存於資料庫中，並透過名為「NEXUS Listener」的網頁應用程式存取。研究人員指出，該框架具備完善的圖形化介面（GUI）與分析儀表板，可即時統計受害主機數量、憑證類型與系統運行狀態，並提供搜尋功能，協助攻擊者從大量資料中篩選高價值目標，進一步發動供應鏈攻擊或轉售存取權限。

面對 UAT-10608 的攻擊行動，Cisco Talos建議企業採取以下防禦措施：

• 優先修補漏洞：立即修補 Next.js 環境中的 CVE-2025-55182。

• 全面輪替憑證：若疑似遭入侵，應輪換所有可能外洩的憑證與API金鑰，並避免SSH 金鑰跨系統重複使用。

• 強化雲端與架構安全：於 AWS EC2 啟用 IMDSv2 ，降低中繼資料服務遭濫用風險；同時盤點容器權限，避免過度授權或存取主機 SSH 代理。

• 程式碼檢視：檢查 getServerSideProps 與 getStaticProps 實作，避免敏感資料外洩，並審慎使用 NEXT_PUBLIC_ 前綴。

• 監控入侵指標（IoC）：留意 /tmp/ 目錄中異常檔案、不尋常的 nohup 執行紀錄，以及應用程式異常對外 HTTP/S 連線。