黑客利用Telegram机器人追踪900+起React2Shell成功攻击事件

admin
admin
admin
0
文章
0
评论
2026-04-25 04:58:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 最新安全事件披露黑客利用自动化工具和AI辅助系统,通过Next.js框架的CVE-2025-55182漏洞(React2Shell)入侵全球900余家企业,窃取.env文件中的API密钥、数据库密码等核心凭证,并利用Telegram机器人实现实时攻击监控。攻击主要针对金融机构、加密货币平台等高价值目标,防御建议包括及时修补漏洞、迁移至专业密钥管理器、控制出站流量及定期轮换凭证。 综合评分: 85 文章分类: 漏洞分析,恶意软件,安全运营,数据安全,应用安全

cover_image

黑客利用 Telegram 机器人追踪900+起 React2Shell 成功攻击事件

看雪学苑 看雪学苑

看雪学苑

2026年4月24日 17:59 上海

在小说阅读器读本章

去阅读

一项最新披露的安全事件显示,一名黑客利用自动化工具、AI辅助系统和Telegram机器人,入侵了全球900多家企业。

该攻击行动围绕名为Bissa扫描器的工具展开,大规模针对面向互联网的Web应用程序,窃取敏感凭证,并将实时攻击警报直接发送至攻击者的Telegram账户。攻击核心是Next.js框架的严重漏洞——CVE-2025-55182,被安全人员命名为React2Shell。

漏洞核心:可批量窃取敏感环境文件

该漏洞可让攻击者针对数百万台Web服务器,提取存储企业密码、API密钥等核心机密的.env文件。

攻击者并非盲目攻击,而是按窃取数据价值,对受害者进行分级筛选。金融机构、加密货币平台和零售公司受影响最严重。

攻击细节:专业级自动化运作,AI全程辅助

DFIR Report分析师通过一台暴露服务器,摸清了攻击全貌。该服务器含150多个目录、13000多个文件,集成了漏洞利用、数据暂存、凭证收集等全套攻击功能,组织专业。

攻击者借助Claude Code和OpenClaw两款AI工具提升效率,实现了罕见的自动化攻击水平。

关键突破口:Telegram机器人实时监控战果

此次攻击的技术亮点的是,攻击者将Telegram打造成实时攻击监控系统。

Bissa扫描器内置Telegram机器人令牌,直接链接@bissapwned_bot。每当攻击成功,该机器人就会向攻击者私人Telegram发送结构化警报。攻击者Telegram用户名为@BonJoviGoesHard,每条警报仅一行,包含受害者关键信息,使其可实时处理数百起入侵事件。

数据泄露规模:触目惊心的凭证窃取

攻击者窃取的凭证数量庞大,数万份.env文件中包含多领域核心密钥:

  • AI提供商:Anthropic、OpenAI
  • 云平台:AWS、Azure
  • 支付系统:Stripe、PayPal
  • 数据库:MongoDB、Supabase

2026年4月10日至21日,攻击者通过Filebase向“bissapromax”存储桶上传超65000个归档文件,可见其自动化程度。

Telegram机器人通知系统:如何运作?

该Telegram警报系统充分体现攻击者的专业性。@bissapwned_bot发送的消息含结构化标题和表情符号分隔的正文,让攻击者可快速掌握受害者信息,无需手动登录服务器。

攻击者还运行了@bissa_scan_bot,用于AI控制子系统,两款机器人均处于活跃状态。所有警报均发送至攻击者私人聊天,证实这是单人操作、集中管理的攻击,其攻击历史可追溯至2025年9月。

紧急防御建议:4项措施立即落实

针对此次攻击事件,DFIR Report研究人员给出了明确的防御建议,企业和组织应立即落实,降低被攻击风险:

  • 积极修补漏洞:订阅供应商公告,及时了解并修补关键CVE漏洞,避免漏洞被攻击者利用后才发现问题。
  • 规范凭证管理:将生产凭证从.env文件迁移至专业的密钥管理器,在运行时注入短生命周期、窄权限的凭证,减少泄露风险。
  • 控制出站流量:通过记录代理控制应用层的出站流量,防止受感染主机悄悄连接攻击者的基础设施,避免数据被窃取。
  • 强化凭证安全:定期轮换凭证,扫描代码和构建工件中的嵌入式密钥;植入金丝雀令牌,一旦被未授权访问,立即触发警报。

资讯来源:本文编译自DFIR Report关于React2Shell漏洞攻击事件的调查报告

球分享

球点赞

球在看

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《黑客利用 Telegram 机器人追踪900+起 React2Shell 成功攻击事件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
暗网快讯【20260424】098期 网络安全文章

暗网快讯【20260424】098期

文章总结: 本期暗网快讯报道全球多起重大安全事件,包括印尼银行、伊拉克警方、印度内政部等多国机构千万级数据泄露,美国交通统计局、日本国民ID系统等公民敏感信息遭
04-250 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0