Investigadores de ciberseguridad han emitido una alerta sobre dos campañas de ataques digitales a gran escala dirigidas tanto a empresas como a particulares. Los atacantes están aprovechando la vulnerabilidad React2Shell (CVE-2025-55182) para robar credenciales de forma automatizada en aplicaciones que utilizan el framework Next.js en todo el mundo.
Según el equipo de seguridad Talos de Cisco, al menos 766 hosts en diversos proveedores de servicios en la nube han sido comprometidos hasta el momento. Esta campaña, identificada como UAT-10608, utiliza un framework denominado "NEXUS Listener" para recopilar automáticamente credenciales de bases de datos, claves de AWS, claves privadas SSH, tokens de API y diversos secretos del entorno.
El proceso de ataque comienza con un escaneo automatizado de aplicaciones Next.js. Una vez detectada la vulnerabilidad, los hackers implantan scripts en directorios temporales para extraer, por etapas, datos confidenciales de la aplicación. Esta información se envía a los servidores de control de los atacantes mediante peticiones HTTP a través del puerto 8080, lo que les permite tomar el control total del entorno de ejecución y de la información de los contenedores comprometidos.
Aumento drástico del phishing mediante códigos de dispositivo
Paralelamente, los ataques de phishing dirigidos a los procesos de autenticación están evolucionando rápidamente. Según un informe de Push Security, el número de ataques de phishing que explotan el flujo de autorización de código de dispositivo OAuth 2.0 (Device Authorization Grant flow) se ha disparado 37 veces este año.
Este método de ataque fue diseñado originalmente para simplificar la conexión a la red de dispositivos sin interfaz de entrada, como televisores inteligentes o impresoras. Sin embargo, los atacantes engañan a las víctimas para que introduzcan un código de autorización en una página legítima, logrando así obtener tokens de acceso válidos y secuestrar las cuentas.
Los investigadores de Push Security señalan que, aunque esta técnica existe desde 2020, su uso ha alcanzado niveles sin precedentes debido a la proliferación de kits de herramientas maliciosas. El informe destaca: "A principios de marzo, nuestro equipo de investigación detectó que el número de páginas de phishing mediante códigos de dispositivo aumentó 15 veces este año, con múltiples kits de ataque y campañas operando simultáneamente".
Actualmente, tanto grupos de hackers respaldados por estados como bandas criminales motivadas por el lucro han incorporado esta técnica a su arsenal habitual. Se recomienda a los usuarios corporativos revisar estrictamente las solicitudes de autorización OAuth y reforzar la supervisión de sus entornos en la nube y claves API para hacer frente a estas dos amenazas automatizadas que siguen en aumento.