Wenn das Frontend zum Einfallstor wird: Die Industriallisierung des Credential-Harvestings
Eine aktuelle, groß angelegte Angriffskampagne bringt ein hartes Erwachen für viele Entwickler- und DevOps-Teams: Die Bedrohungsgruppe UAT-10608 nutzt die als „React2Shell" bekannte Schwachstelle CVE-2025-55182, um Next.js-Anwendungen zu kompromittieren. Betroffen sind mindestens 766 Hosts über verschiedene Cloud-Provider und Regionen hinweg. Das Ausmaß und die Professionalität des Angriffs zeigen einmal mehr, dass moderne Web-Frameworks neue, hochattraktive Angriffsflächen bieten.
CVSS 10.0: Die Gefahr aus dem Server Component
Die anfängliche Infektion basiert auf CVE-2025-55182, einer kritischen Schwachstelle (CVSS-Score: 10.0) in React Server Components und dem Next.js App Router. Sie ermöglicht Remote Code Execution (RCE) – der Albtraum jedes Administrators. Was hier besonders tückisch ist: Next.js hat sich in den letzten Jahren vom reinen Frontend-Framework zu einer Vollstack-Lösung entwickelt. Server Components werden serverseitig ausgeführt und haben oft direkten Zugriff auf Datenbanken, Umgebungsvariablen und interne APIs. Eine Kompromittierung an dieser Stelle ist also nicht nur ein Datenleck im Frontend, sondern öffnet Angreifern Tür und Tor zum gesamten Backend.
Die Angreifer gehen dabei extrem pragmatisch vor. Laut den Forschern von Cisco Talos, Asheer Malhotra und Brandon White, deutet das breite und indiskriminerte Opferprofil auf automatisiertes Scanning hin. Vermutlich nutzen die Akteure Dienste wie Shodan oder Censys, um öffentlich erreichbare Next.js-Instanzen zu identifizieren und automatisiert auf Verwundbarkeit zu prüfen.
NEXUS Listener: Das Dashboard für Datendiebe
Besonders bemerkenswert an dieser Kampagne ist nicht nur der Initialzugriff, sondern das, was danach passiert. UAT-10608 setzt einen sogenannten Dropper ein, der ein mehrphasiges Harvesting-Skript auf dem System ablegt. Dieses Skript ist auf maximale Beute ausgelegt und saugt das kompromittierte System regelrecht aus:
- Umgebungsvariablen und geparste JSON-Umgebungen aus dem JS-Runtime
- SSH-Private-Keys und
authorized_keys - Shell-Command-History
- Kubernetes Service Account Tokens
- Docker-Container-Konfigurationen (inklusive Images, Ports, Netzwerke, Mounts)
- Temporäre IAM-Rollen-Credentials von AWS, Google Cloud und Microsoft Azure (via Instance Metadata Service)
- Laufende Prozesse
Die Beute landet dann auf dem Command-and-Control (C2) Server der Angreifer. Dort läuft das eigentliche Herzstück der Operation: Eine webbasierte GUI namens „NEXUS Listener". Das Tool ist aktuell in Version 3 verfügbar, was auf eine lange und kontinuierliche Entwicklungsarbeit hindeutet. Der NEXUS Listener ist im Grunde ein administratives Dashboard für Datendiebe – passwortgeschützt, mit Suchfunktion und vorkompilierten Statistiken. Betreiber können darin komfortabel durch die kompromittierten Hosts browsen, die Uptime der Instanzen prüfen und genau sehen, wie viele Credentials welchen Typs erbeutet wurden.
KI-APIs im Fadenkreuz: Der Wert der Beute verschiebt sich
Cisco Talos konnte Daten von einer nicht ordnungsgemäß authentifizierten NEXUS-Listener-Instanz analysieren. Das Ergebnis ist ein Who-is-Who moderner Infrastruktur-Geheimnisse: Neben den erwarteten Stripe-API-Keys, GitHub- und GitLab-Token, Datenbank-Verbindungsstrings und Telegram-Bot-Token fanden sich auch Zugangsdaten für KI-Plattformen – darunter OpenAI, Anthropic und NVIDIA NIM.
Das ist ein klares Zeichen dafür, dass sich der Markt für gestohlene Daten wandelt. KI-API-Keys sind hochbegehrt, da sie Angreifern ermöglichen, auf Kosten des Opfers rechenintensive Modelle für eigene Zwecke – etwa Deepfakes, Spam oder weitere Code-Generierung – zu nutzen.
Die Ganzheitliche Sicht als strategisches Risiko
Der vielleicht beunruhigendste Aspekt dieser Kampagne ist jedoch nicht der Diebstahl einzelner API-Keys, sondern die Aggregation der Daten. Wie die Talos-Forscher betonen, bildet die aggregierte Datensammlung eine detaillierte Landkarte der Infrastruktur eines Unternehmens: Welche Services laufen? Wie sind sie konfiguriert? Welche Cloud-Provider und Drittanbieter-Integrationen werden genutzt?
Diese Informationen sind für Folgeangriffe, maßgeschneiderte Social-Engineering-Kampagnen oder den Verkauf von Netzwerkzugängen an andere Ransomware-Gruppen extrem wertvoll. Ein kompromittierter Next.js-Host ist also nur der erste Dominostein.
Was Entwickler und Administraten jetzt tun müssen
Die Kampagne von UAT-10608 ist ein Weckruf, der die Notwendigkeit moderner Sicherheitsarchitekturen unterstreicht. Das bloße Patchen der Next.js-Instanzen reicht oft nicht, um die Folgen einer bereits erfolgten Kompromittierung einzudämmen. Die Experten von Talos empfehlen einen umfassenden Härtungsprozess:
- Patch-Management: Unverzügliches Patchen von Next.js gegen CVE-2025-55182.
- IMDSv2-Enforcement: Auf AWS EC2-Instanzen muss dringend die Instance Metadata Service Version 2 (IMDSv2) erzwungen werden. Version 1 ist anfällig für SSRF-Angriffe, die es Skripten wie dem von UAT-10608 ermöglichen, temporäre Cloud-Credentials abzugreifen.
- Principle of Least Privilege: Container und Applikationen dürfen nur die minimal notwendigen Rechte besitzen.
- Secret Scanning & Rotation: Aktives Scannen von Code-Repositories auf geleakte Secrets und sofortige Rotation aller Schlüssel bei Verdacht auf Kompromittierung.
- Kein SSH-Key-Reuse: SSH-Schlüsselpaarungen dürfen nicht serverübergreifend wiederverwendet werden.
Die Zeiten, in denen Frontend-Entwicklung als „sicherer" Bereich galt, sind spätestens mit der Ära der Server Components vorbei. Wer Next.js als Vollstack-Framework einsetzt, muss die gleichen Sicherheitsstandards anlegen wie an klassische Backend- oder Datenbankserver.
Quelle: The Hacker News
