حملة ضخمة تستغل ثغرة CVE-2025-55182 لاختراق تطبيقات Next.js وسرقة بيانات حساسة

حملة ضخمة تستغل ثغرة CVE-2025-55182 لاختراق تطبيقات Next.js وسرقة بيانات حساسة
حملة ضخمة تستغل ثغرة CVE-2025-55182 لاختراق تطبيقات Next.js وسرقة بيانات حساسة
شارك هذا الخبر

كشف باحثو Cisco Talos عن عملية واسعة النطاق لجمع بيانات الاعتماد، استغلت ثغرة خطيرة في مكونات React Server وNext.js App Router تُعرف بـ CVE-2025-55182، والتي تحمل درجة خطورة قصوى (CVSS 10.0). العملية، التي نُسبت إلى مجموعة تهديد تُعرف باسم UAT-10608، استهدفت ما لا يقل عن 766 مضيفًا عبر مناطق جغرافية متعددة ومزودي خدمات سحابية، حيث تمكن المهاجمون من سرقة بيانات حساسة تشمل مفاتيح SSH الخاصة، بيانات اعتماد قواعد البيانات، أسرار خدمات أمازون AWS، سجلات أوامر النظام، مفاتيح Stripe، ورموز GitHub.

أداة NEXUS Listener ودورها في إدارة البيانات المسروقة

بعد الاختراق، استخدم المهاجمون نصوصًا آلية لاستخراج البيانات من التطبيقات المختلفة، ثم إرسالها إلى خادم تحكم وسيطرة (C2). هذا الخادم يستضيف واجهة رسومية تُعرف باسم “NEXUS Listener”، تتيح للمهاجمين عرض المعلومات المسروقة وتحليلها عبر إحصاءات مسبقة الإعداد. الإصدار الحالي من الأداة هو V3، ما يشير إلى تطورها عبر عدة مراحل قبل الوصول إلى الشكل الحالي. الواجهة توفر إمكانيات بحث متقدمة، وتعرض عدد المضيفين المخترقين وأنواع بيانات الاعتماد المستخرجة، إضافة إلى تفاصيل زمن تشغيل التطبيق.

آلية الاستغلال وجمع البيانات

الهجوم يعتمد على مُحمّل يقوم بنشر نصوص متعددة المراحل لجمع تفاصيل دقيقة من الأنظمة المصابة، منها:

  • المتغيرات البيئية وبيانات JSON من بيئة تشغيل JavaScript
  • مفاتيح SSH الخاصة وملفات authorized_keys
  • سجلات أوامر النظام (Shell history)
  • رموز حسابات Kubernetes
  • إعدادات Docker بما في ذلك الحاويات النشطة والمنافذ المكشوفة والتكوينات الشبكية
  • مفاتيح واجهات برمجة التطبيقات (API keys)
  • بيانات اعتماد مؤقتة مرتبطة بأدوار IAM عبر خدمات السحابة مثل AWS وGoogle Cloud وMicrosoft Azure

هذه البيانات تُشكل خريطة تفصيلية للبنية التحتية الخاصة بالضحايا، بما في ذلك الخدمات المستخدمة، طرق التكوين، ومزودي السحابة، إضافة إلى التكاملات مع أطراف ثالثة.

بيانات حساسة تم الكشف عنها

تمكن الباحثون من الوصول إلى نسخة غير محمية من NEXUS Listener، حيث وجدوا أنها تحتوي على مفاتيح API مرتبطة بخدمات مالية مثل Stripe، ومنصات ذكاء اصطناعي مثل OpenAI وAnthropic وNVIDIA NIM، وخدمات اتصالات مثل SendGrid وBrevo، إضافة إلى رموز بوتات Telegram، أسرار Webhook، رموز GitHub وGitLab، وسلاسل اتصال قواعد البيانات. هذا الكم الهائل من البيانات يتيح للمهاجمين تنفيذ هجمات لاحقة أكثر استهدافًا، بما في ذلك حملات الهندسة الاجتماعية أو بيع الوصول لمجموعات تهديد أخرى.

توصيات أمنية للمنظمات

يشدد الخبراء على ضرورة قيام المؤسسات بمراجعة بيئاتها وتطبيق ممارسات أمنية صارمة، مثل:

  • فرض مبدأ أقل صلاحية (Least Privilege)
  • تفعيل آليات فحص الأسرار (Secret Scanning)
  • تجنب إعادة استخدام أزواج مفاتيح SSH
  • فرض استخدام IMDSv2 على جميع مثيلات AWS EC2
  • تدوير بيانات الاعتماد فور الاشتباه بحدوث اختراق
وسوم
محمد طاهر
محمد طاهر
المقالات: 1405

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة