سوءاستفاده از CVE-2025-55182؛ موج جدید حملات علیه Next.js و سرقت گسترده اعتبارنامه‌ها

در یک کارزار گسترده سرقت اعتبارنامه‌ها، مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2025-55182 موفق شده‌اند بیش از 766 سرور Next.js را هدف قرار داده و حجم قابل توجهی از اطلاعات حساس و اعتبارنامه‌ها را سرقت کنند. CVE-2025-55182 که یک ضعف بحرانی در کامپوننت‌های React Server و Next.js App Router است، امکان اجرای کد از راه دور (RCE) را فراهم کرده و مهاجمان از آن برای آغاز زنجیره نفوذ خود استفاده می‌کنند.

گزارش جدید Cisco Talos این حملات را به گروه تهدید سایبری با شناسه UAT‑10608 نسبت داده است. این گروه از اسکریپت‌های خودکار برای جمع‌آوری حجم زیادی از اطلاعات حساس از سرورهای آسیب‌پذیر استفاده کرده و سپس از طریق یک سرور فرماندهی و کنترل (C2) مجهز به رابط تحت وب NEXUS Listener آن را مدیریت می‌کند.

جزئیات فنی حمله با سوء‌استفاده از CVE-2025-55182

مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2025-55182، یک Dropper چندمرحله‌ای را روی سیستم قربانی اجرا می‌کنند که مجموعه‌ای از داده‌های حساس را استخراج و به سرور C2 ارسال می‌کند. اطلاعاتی که از سرورها سرقت شده شامل موارد زیر است:

• متغیرهای محیطی
• JSON محیطی استخراج‌شده از اجرای JavaScript
• کلیدهای خصوصی SSH و فایل‌های authorized_keys
• تاریخچه دستورات Shell
• توکن‌های حساب سرویس در Kubernetes
• پیکربندی‌های Docker شامل پورت‌ها، ایمیج‌ها، شبکه‌ها و Mountها
• کلیدهای API
• اعتبارنامه‌های موقت IAM مربوط به AWS، Google Cloud و Azure
• لیست فرآیند‌های فعال

Cisco Talos اعلام کرده است که مهاجمان از اسکنرهای خودکار مانند Shodan، Censys یا ابزارهای اختصاصی برای شناسایی سرورهای آسیب‌پذیر استفاده کرده‌اند.

NEXUS Listener؛ رابط گرافیکی هکرها برای مدیریت داده‌های سرقت‌شده

یکی از بخش‌های کلیدی این عملیات، یک اپلیکیشن تحت وب رمزدار است که اطلاعات استخراج‌شده را به‌صورت تحلیلی و سازمان‌دهی‌شده به مهاجمان نمایش می‌دهد. این رابط گرافیکی به مهاجم این امکان را می‌دهد که اطلاعات سرقت‌شده را جستجو کرده و آن‌ها را تحلیل کند. Talos همچنین اعلام کرده که نسخه فعلی این ابزار NEXUS Listener V3 است و نشان می‌دهد مهاجمان طی چند مرحله این پلتفرم را توسعه داده‌اند.

در نمونه‌ای که Talos به آن دسترسی پیدا کرده، داده‌های بسیار حساسی شامل موارد زیر شناسایی شده است:

• کلیدهای API سرویس Stripe
• کلیدهای سرویس‌های هوش مصنوعی OpenAI، Anthropic و NVIDIA NIM
• توکن‌های ارتباطی مانند Brevo و SendGrid
• توکن‌های GitHub و GitLab
• رمزهایWebhook
• رشته‌های اتصال دیتابیس
• توکن‌های بات تلگرام

پیامدهای امنیتی سوءاستفاده از‌ CVE-2025-55182

این سطح از جمع‌آوری اطلاعات می‌تواند پایه‌ای برای حملات بعدی، مهندسی اجتماعی پیشرفته، افزایش سطح دسترسی، یا فروش دسترسی به مهاجمان دیگر باشد. طبق تحلیل Talos، مجموعه داده‌های سرقت‌شده عملاً نقشه کاملی از زیرساخت قربانیان و سرویس‌های ابری، پیکربندی‌ها و تعاملات با سرویس‌های ثالث را در اختیار مهاجم قرار می‌دهد که ارزش بالایی برای طراحی حملات هدفمند دارد.

راهکارهای امنیتی برای مقابله با این آسیب‌پذیری بحرانی

سازمان‌ها باید فوراً اقدامات زیر را انجام دهند:

• نصب پچ‌ها و به‌روزرسانی به نسخه‌های امن js
• اجرای اصل حداقل سطح دسترسی
• فعال‌سازی اسکن اطلاعات حساس (Secret Scanning)
• مدیریت صحیح کلیدهای SSH و اجتناب از استفاده مجدد از آن‌ها
• اجباری کردن IMDSv2 در تمامی نمونه‌های EC2 در AWS
• تغییر فوری تمامی اعتبارنامه‌ها

جمع‌بندی

موج جدید حملات ناشی از سوءاستفاده از CVE-2025-55182 نشان می‌دهد که مهاجمان با استفاده از ابزارهایی مانند NEXUS Listener، فرآیند سرقت اعتبارنامه‌ها را به سطح صنعتی رسانده‌اند. این حملات زنگ خطری جدی برای تمامی سازمان‌هایی است که Next.js را در محیط عملیاتی استفاده می‌کنند.

منابع