Operação de roubo de credenciais explora vulnerabilidade React2Shell

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma operação de grande escala de coleta de credenciais foi identificada, utilizando a vulnerabilidade React2Shell como vetor inicial para roubar credenciais de banco de dados, chaves privadas SSH, segredos da Amazon Web Services (AWS), histórico de comandos de shell, chaves da API do Stripe e tokens do GitHub. A Cisco Talos atribuiu essa operação a um grupo de ameaças conhecido como UAT-10608, que comprometeu pelo menos 766 hosts em diversas regiões geográficas e provedores de nuvem. Após o comprometimento, o grupo utiliza scripts automatizados para extrair e exfiltrar credenciais, que são então enviadas para um servidor de comando e controle (C2) que possui uma interface gráfica chamada ‘NEXUS Listener’. Essa interface permite que os operadores visualizem as informações roubadas e realizem análises estatísticas sobre as credenciais coletadas. A campanha visa especificamente aplicações Next.js vulneráveis à falha crítica CVE-2025-55182, que pode resultar em execução remota de código. A amplitude do conjunto de vítimas sugere um padrão de ataque automatizado, utilizando serviços como Shodan para identificar implantações vulneráveis. As organizações são aconselhadas a auditar seus ambientes e implementar práticas de segurança rigorosas para mitigar esses riscos.

Fonte: https://thehackernews.com/2026/04/hackers-exploit-cve-2025-55182-to.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
02/04/2026 • Risco: CRITICO
VULNERABILIDADE

Operação de roubo de credenciais explora vulnerabilidade React2Shell

RESUMO EXECUTIVO
A operação UAT-10608 representa uma ameaça significativa para organizações que utilizam Next.js e serviços de nuvem. A exploração da vulnerabilidade CVE-2025-55182 pode resultar em acesso não autorizado a dados críticos, exigindo ações imediatas para proteger a infraestrutura e garantir a conformidade com regulamentos de proteção de dados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a ataques subsequentes e vazamentos de dados.
Operacional
Roubo de credenciais e dados sensíveis de múltiplas organizações.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'E-commerce']

📊 INDICADORES CHAVE

766 hosts comprometidos Indicador
CVSS score de 10.0 para a vulnerabilidade Contexto BR
Diversas credenciais e segredos extraídos, incluindo chaves de API e tokens Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar sistemas para identificar a presença da vulnerabilidade CVE-2025-55182.
2 Implementar práticas de segurança como rotação de credenciais e uso de IMDSv2 em instâncias AWS.
3 Monitorar continuamente logs de acesso e atividades suspeitas em sistemas críticos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de acesso não autorizado a dados sensíveis e a potencial exploração de infraestrutura crítica.

⚖️ COMPLIANCE

Implicações diretas para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).