Uma nova campanha de hackers está em andamento, visando roubar credenciais de forma automatizada ao explorar a vulnerabilidade React2Shell (CVE-2025-55182) em aplicativos Next.js. Até o momento, 766 hosts em diferentes provedores de nuvem e regiões foram comprometidos, resultando na coleta de dados sensíveis, como credenciais de banco de dados, chaves privadas SSH, chaves de API e segredos de ambiente. A operação utiliza um framework chamado NEXUS Listener e scripts automatizados para extrair e exfiltrar dados de diversas aplicações. Os pesquisadores da Cisco Talos conseguiram acessar uma instância exposta do NEXUS Listener, permitindo a análise dos dados coletados e do funcionamento da aplicação. A coleta de dados ocorre em pacotes, enviados via requisições HTTP para um servidor de comando e controle. As recomendações de defesa incluem a aplicação de atualizações de segurança, auditoria da exposição de dados e rotação imediata de credenciais suspeitas. A situação é crítica, pois os dados roubados podem levar a invasões de contas em nuvem e ataques à cadeia de suprimentos.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-react2shell-in-automated-credential-theft-campaign/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
05/04/2026 • Risco: CRITICO
ATAQUE
Campanha de hackers visa credenciais em apps Next.js vulneráveis
RESUMO EXECUTIVO
A exploração da vulnerabilidade React2Shell em aplicativos Next.js representa um risco crítico para a segurança de dados. A coleta de credenciais sensíveis pode resultar em invasões de contas em nuvem e ataques à cadeia de suprimentos, exigindo ações imediatas de mitigação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a invasões e roubo de dados.
Operacional
Roubo de credenciais sensíveis e dados pessoais, com potencial para invasões de contas e ataques à cadeia de suprimentos.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'E-commerce']
📊 INDICADORES CHAVE
766 hosts comprometidos
Indicador
Dados sensíveis coletados incluem credenciais de banco de dados e chaves de API
Contexto BR
Comprometimento em um período de 24 horas
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença da vulnerabilidade React2Shell em aplicações Next.js.
2
Aplicar atualizações de segurança e rotacionar credenciais suspeitas imediatamente.
3
Monitorar continuamente logs de acesso e atividades suspeitas nas aplicações.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas aplicações Next.js, pois a exploração dessa vulnerabilidade pode levar a graves consequências financeiras e de reputação.
⚖️ COMPLIANCE
Implicações legais sob a LGPD devido ao roubo de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
