文章总结： 思科Talos披露黑客组织UAT-10608利用React2Shell漏洞在24小时内攻陷766台主机，因管理面板未设密码暴露完整攻击数据。关键发现包括91.5%主机泄露数据库凭证、78.2%泄露SSH密钥，涉及云服务密钥和API令牌。建议立即轮换凭证、启用IMDSv2防护、部署WAF规则并审计容器权限。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,数据安全,安全建设

致命失误：黑客控制面板裸奔遭思科反溯

原创

网空闲话 网空闲话

网空闲话plus

2026年4月4日 07:23 甘肃

思科Talos威胁情报团队4月2日披露了一个被追踪为 UAT-10608 的自动化凭证窃取行动。该组织利用四个月前公开的React2Shell漏洞（CVE-2025-55182），在短短24小时内攻陷了至少766台主机，横跨多个地理区域和云服务商。然而，攻击者犯下了一个不可饶恕的操作失误——其核心管理面板“NEXUS Listener”的一个实例未设置任何密码保护，直接暴露在公网。这一疏忽使得研究人员得以完整窥见该犯罪团伙的运作全貌、收割规模以及被盗数据的精确细节。

一、攻击链条：从React2Shell到多阶段自动收割

UAT-10608的攻击起点是面向公网的Next.js应用。这些应用因使用存在CVE-2025-55182（俗称“React2Shell”）的React服务器组件而沦为猎物。该漏洞是一个预认证远程代码执行漏洞：攻击者向服务器函数端点发送恶意序列化载荷，无需任何身份验证，即可在服务端Node.js进程中执行任意代码。

一旦漏洞利用成功，攻击者的自动化工具包立即接管。初始的React漏洞利用会投放一个小型投放器，通常是一个存放在/tmp目录下、随机命名且以点号开头的隐藏脚本（例如/tmp/.eba9ee1e4.sh），并通过nohup执行以维持后台运行。

该投放器随后获取并运行一个多阶段凭证收割脚本。脚本执行后，会依次完成以下收集阶段：

• environ – 转储运行中进程的环境变量
• jsenv – 提取JavaScript运行时中JSON格式的环境配置
• ssh – 收割SSH私钥和authorized_keys文件
• tokens – 通过模式匹配提取各类凭证字符串
• history – 捕获Shell命令历史
• cloud_meta – 查询AWS/GCP/Azure的云元数据API
• k8s – 提取Kubernetes服务账户令牌
• docker – 枚举运行中的容器配置
• cmdline – 列出所有进程的命令行
• proc_all – 聚合所有进程的环境变量

框架使用一个meta.json文件跟踪每个阶段的执行状态。每个阶段完成后，受害主机都会向C2服务器（运行NEXUS Listener组件）发起HTTP回调，端口通常为8080，并携带参数：h=<主机名>、l=<阶段名>、id=<唯一标识>。例如：

http://<C2_IP>:8080/h=<VICTIM_HOSTNAME>&l=info&id=123abc45http://<C2_IP>:8080/h=<VICTIM_HOSTNAME>&l=jsenv&id=123abc45

二、触目惊心的收割数据：766台主机沦陷

通过一个未加密码保护的NEXUS Listener实例，思科Talos获得了截至2026年4月2日（报告发布当日）的精确统计数据：

| 指标 | 数量 | 占比 | | — | — | — | | 被入侵主机 | 766 | 100% | | 包含数据库凭证的主机 | ~701 | 91.5% | | 包含SSH私钥的主机 | ~599 | 78.2% | | 包含AWS凭证的主机 | ~196 | 25.6% | | 包含Shell命令历史的主机 | ~245 | 32.0% | | 包含实时Stripe API密钥的主机 | ~87 | 11.4% | | 包含GitHub令牌的主机 | ~66 | 8.6% | | 收集的文件总数 | 10,120 | – |

环境变量与API密钥：environ.txt和jsenv.txt文件暴露了海量第三方服务凭证，包括：OpenAI、Anthropic、NVIDIA NIM、OpenRouter、Tavily等AI平台密钥；Stripe live密钥（sk_live_*）；AWS访问密钥/秘钥对、Azure订阅凭证；SendGrid、Brevo等邮件API密钥；Telegram机器人令牌；GitHub/GitLab个人访问令牌；以及包含主机名、端口、用户名和明文密码的完整数据库连接字符串。

SSH私钥：在78.2%的主机中，ssh.txt文件包含完整的PEM编码私钥（ED25519和RSA格式）及authorized_keys条目。这些密钥可直接用于横向移动，攻击者可借此访问任何信任该主机密钥的系统。

云凭证：aws_full.txt和cloud_meta.txt阶段成功查询了AWS实例元数据服务（IMDS）、GCP元数据服务器和Azure IMDS，获取了与IAM角色关联的临时凭证，可能允许攻击者访问S3存储桶、EC2控制平面甚至Secrets Manager。

Kubernetes令牌：k8s.txt阶段读取了默认挂载的服务账户令牌（路径/var/run/secrets/kubernetes.io/serviceaccount/token），若RBAC配置不当，可导致集群资源枚举乃至集群管理员权限提升。

Docker容器信息：约6%的主机中，docker.txt枚举了所有运行中的容器、镜像、暴露端口、网络配置、挂载点及环境变量，其中发现了phpMyAdmin、n8n工作流自动化等高风险服务。

Shell命令历史：history.txt中观察到的模式包括带明文密码的MySQL客户端调用（mysql -u root -p）以及数据库服务重启命令（/etc/init.d/mysqld restart），为攻击者提供了进一步的操作情报。

三、NEXUS Listener：一个暴露的“犯罪控制台”

所有被窃数据最终汇入一个名为“NEXUS Listener”的Web应用程序。该应用是攻击者的核心管理平台，以图形化界面展示收割信息，并提供预编译统计数据与搜索功能。

图1 – NEXUS Listener登录提示

在绝大多数情况下，该Web前端受密码保护。然而，至少有一个实例被完全暴露，无需任何凭证即可访问。研究人员由此看到了以下内容：

图2 – NEXUS Listener主页，显示统计信息，包括766台主机、各类凭证数量以及应用运行时间

主页显示，该自动化的利用与收割框架在24小时内成功攻陷了766台主机。应用标题中明确标注了 “v3” ，表明该框架已经历了至少三个版本的迭代，是一个成熟且持续演进的黑客工具包。

图3 – NEXUS Listener受害者列表，可浏览所有被入侵主机

用户可点击任意一台主机，调出对应所有收割阶段的详细数据菜单。

图4 – NEXUS Listener单个受害者的凭证详情，包含各类密钥的明文展示

四、评论与警示：疏忽的代价是“毁灭性的”

此次事件中，攻击者的失误与漏洞未及时修补的受害者一样，都源于同一个词——疏忽。

补丁管理提供商Action1的现场首席技术官Gene Moody在评价此事时指出：“这一切都与疏忽和效率有关。 React2Shell迅速满足了攻击者所寻求的所有条件：公开披露、可靠的利用以及面向互联网的暴露。”他强调，对于暴露的系统而言，“已经没有任何真正意义上的隐蔽性了。”

Moody进一步警告：“攻击始于你未能及时打补丁之时。……一旦这类信息落入不法分子之手，一个错误就可能瞬间演变成所有错误。损失可能是毁灭性的，而且无法挽回。”他建议组织“把修补漏洞当成牙痛来对待——一旦出现任何迹象，就尽快处理，否则只会带来更多痛苦。”

思科Talos在报告中明确指出：该数据集中的每一份凭证都应被视为完全泄露。实时Stripe密钥可导致欺诈性扣款和退款操纵；拥有广泛IAM权限的AWS密钥可导致云基础设施被接管；数据库连接字符串中的明文密码可直接访问用户PII和财务记录。而大量暴露的SSH私钥创造了一种能够存活于应用凭证轮换之后的持久横向移动风险。

此外，部分主机中发现的包注册表认证文件（pkgauth.txt，包含npm和pip配置中的注册表凭证）可能被用于供应链攻击——在合法维护者的身份下发布恶意软件包。

五、组织应立即采取的行动

思科Talos给出了以下建议：

1. 审计代码：检查getServerSideProps和getStaticProps实现，确保没有将密钥或仅限服务器的环境变量传递给客户端组件。严格执行NEXT_PUBLIC_前缀的使用纪律。
2. 立即轮换所有凭证：若怀疑环境与所述受害画像有任何重叠，立即轮换数据库密码、云密钥、API令牌和SSH密钥。
3. 强化云元数据服务：在所有AWS EC2实例上强制实施IMDSv2，阻止未经身份验证的元数据服务滥用。
4. 隔离SSH密钥：避免在不同系统或环境间复用同一SSH密钥对。
5. 启用云服务商的原生密钥扫描：AWS、GitHub等提供的秘密扫描功能可检测并告警泄露的凭证。
6. 部署针对性防护：使用针对Next.js攻击模式的WAF规则集或RASP（运行时应用自我保护）。
7. 审计容器环境：遵循最小权限原则，确保应用容器无法访问主机SSH代理、包含敏感数据的主机文件系统挂载点以及权限过宽的IAM实例角色。

思科Talos已向GitHub、AWS等行业合作伙伴通报了暴露的凭证，并协助隔离。同时，SNORT® ID 65554可用于检测CVE-2025-55182的利用行为。完整的入侵指标（IOCs）已在思科Talos的GitHub仓库中发布。

参考资源

1、https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/

2、https://www.csoonline.com/article/4154188/security-lapse-lets-researchers-see-react2shell-hackers-dashboard.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《致命失误：黑客控制面板裸奔遭思科反溯》