网络安全研究人员近期发布预警,披露了两起针对企业与个人账户的大规模数字攻击行动。黑客正利用React2Shell(CVE-2025-55182)漏洞,对全球范围内运行Next.js框架的应用程序进行自动化凭据窃取。
根据思科Talos安全团队的监测,目前至少已有766台位于不同云服务商的主机被入侵。该攻击行动被追踪为UAT-10608,攻击者通过一个名为“NEXUS Listener”的框架,自动搜集数据库凭据、AWS密钥、SSH私钥、API令牌以及各类环境机密信息。
攻击流程始于对Next.js应用的自动化扫描。一旦发现漏洞,黑客便会在临时目录中植入脚本,分阶段提取应用内的敏感数据。这些数据通过8080端口以HTTP请求方式发送至攻击者的控制服务器,使黑客能够全面掌控被入侵系统的运行环境及容器信息。
设备代码钓鱼攻击激增
与此同时,针对身份验证流程的钓鱼攻击也在迅速演变。根据Push Security的研究报告,利用OAuth 2.0设备授权许可流(Device Authorization Grant flow)发起的钓鱼攻击数量今年激增了37倍。
这种攻击手段起初设计是为了简化智能电视、打印机等无输入设备连接网络的过程。然而,黑客通过诱骗受害者在合法页面输入授权码,从而获取有效的访问令牌并劫持账户。
Push Security的研究人员指出,这种攻击技术虽然早在2020年便已出现,但近期由于恶意工具包的广泛传播,其滥用频率达到了前所未有的高度。报告提到:“截至3月初,我们的研究团队发现今年检测到的设备代码钓鱼页面数量增加了15倍,且多种攻击工具包和活动正在同步进行。”
目前,无论是国家背景的黑客组织还是以经济利益为目的的犯罪团伙,都已将这种设备代码钓鱼技术纳入其常规武器库。企业用户被建议严格审查OAuth授权请求,并加强对云端环境与API密钥的监控,以应对这两类日益严重的自动化威胁。
