文章总结： 最新安全事件披露黑客利用自动化工具和AI辅助系统，通过Next.js框架的CVE-2025-55182漏洞（React2Shell）入侵全球900余家企业，窃取.env文件中的API密钥、数据库密码等核心凭证，并利用Telegram机器人实现实时攻击监控。攻击主要针对金融机构、加密货币平台等高价值目标，防御建议包括及时修补漏洞、迁移至专业密钥管理器、控制出站流量及定期轮换凭证。 综合评分： 85 文章分类： 漏洞分析,恶意软件,安全运营,数据安全,应用安全

黑客利用 Telegram 机器人追踪900+起 React2Shell 成功攻击事件

看雪学苑 看雪学苑

看雪学苑

2026年4月24日 17:59 上海

在小说阅读器读本章

去阅读

一项最新披露的安全事件显示，一名黑客利用自动化工具、AI辅助系统和Telegram机器人，入侵了全球900多家企业。

该攻击行动围绕名为Bissa扫描器的工具展开，大规模针对面向互联网的Web应用程序，窃取敏感凭证，并将实时攻击警报直接发送至攻击者的Telegram账户。攻击核心是Next.js框架的严重漏洞——CVE-2025-55182，被安全人员命名为React2Shell。

漏洞核心：可批量窃取敏感环境文件

该漏洞可让攻击者针对数百万台Web服务器，提取存储企业密码、API密钥等核心机密的.env文件。

攻击者并非盲目攻击，而是按窃取数据价值，对受害者进行分级筛选。金融机构、加密货币平台和零售公司受影响最严重。

攻击细节：专业级自动化运作，AI全程辅助

DFIR Report分析师通过一台暴露服务器，摸清了攻击全貌。该服务器含150多个目录、13000多个文件，集成了漏洞利用、数据暂存、凭证收集等全套攻击功能，组织专业。

攻击者借助Claude Code和OpenClaw两款AI工具提升效率，实现了罕见的自动化攻击水平。

关键突破口：Telegram机器人实时监控战果

此次攻击的技术亮点的是，攻击者将Telegram打造成实时攻击监控系统。

Bissa扫描器内置Telegram机器人令牌，直接链接@bissapwned_bot。每当攻击成功，该机器人就会向攻击者私人Telegram发送结构化警报。攻击者Telegram用户名为@BonJoviGoesHard，每条警报仅一行，包含受害者关键信息，使其可实时处理数百起入侵事件。

数据泄露规模：触目惊心的凭证窃取

攻击者窃取的凭证数量庞大，数万份.env文件中包含多领域核心密钥：

• AI提供商：Anthropic、OpenAI
• 云平台：AWS、Azure
• 支付系统：Stripe、PayPal
• 数据库：MongoDB、Supabase

2026年4月10日至21日，攻击者通过Filebase向“bissapromax”存储桶上传超65000个归档文件，可见其自动化程度。

Telegram机器人通知系统：如何运作？

该Telegram警报系统充分体现攻击者的专业性。@bissapwned_bot发送的消息含结构化标题和表情符号分隔的正文，让攻击者可快速掌握受害者信息，无需手动登录服务器。

攻击者还运行了@bissa_scan_bot，用于AI控制子系统，两款机器人均处于活跃状态。所有警报均发送至攻击者私人聊天，证实这是单人操作、集中管理的攻击，其攻击历史可追溯至2025年9月。

紧急防御建议：4项措施立即落实

针对此次攻击事件，DFIR Report研究人员给出了明确的防御建议，企业和组织应立即落实，降低被攻击风险：

• 积极修补漏洞：订阅供应商公告，及时了解并修补关键CVE漏洞，避免漏洞被攻击者利用后才发现问题。
• 规范凭证管理：将生产凭证从.env文件迁移至专业的密钥管理器，在运行时注入短生命周期、窄权限的凭证，减少泄露风险。
• 控制出站流量：通过记录代理控制应用层的出站流量，防止受感染主机悄悄连接攻击者的基础设施，避免数据被窃取。
• 强化凭证安全：定期轮换凭证，扫描代码和构建工件中的嵌入式密钥；植入金丝雀令牌，一旦被未授权访问，立即触发警报。

资讯来源：本文编译自DFIR Report关于React2Shell漏洞攻击事件的调查报告

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《黑客利用 Telegram 机器人追踪900+起 React2Shell 成功攻击事件》