Den Sicherheitsforschern von Cisco Talos zufolge zielt der Akteur UAT-10608 auf öffentlich erreichbare Webanwendungen, die für React2Shell anfällig sind. Über eine präparierte HTTP-Anfrage schleust er eine Schadlast ein und bringt sie im serverseitigen Node.js-Prozess zur Ausführung.

Die breite und unterschiedslose Auswahl der Opfer passt nach Darstellung von Talos zu einem automatisierten Scanverfahren. Wahrscheinlich greife der Angreifer auf Host-Profildaten von Diensten wie Shodan oder Censys oder auf eigene Scanner zurück, um öffentlich erreichbare Next.js-Installationen aufzuspüren und auf die beschriebene React-Konfigurationslücke zu prüfen.

Nach dem Eindringen kommt ein automatisiertes Skript zum Einsatz, das in mehreren Phasen Daten zusammenträgt. Es durchläuft laufende Prozesse, die JavaScript-Laufzeitumgebung, SSH, die Befehlshistorie der Shell, Token, Cloud-Metadaten-APIs, Kubernetes-Dienstkonten, Container-Konfigurationen sowie die Befehlszeilen aktiver Prozesse.

Die abgeflossenen Daten gehen an einen Command-and-Control-Server der Angreifer, wo sie über die Webanwendung Nexus Listener bereitstehen. Talos stieß auf eine offen zugängliche Nexus-Listener-Instanz und konnte so Einblick in die Funktionsweise der Anwendung und die abgegriffenen Daten nehmen. Die Instanz belegte die erfolgreiche Kompromittierung von 766 Hosts innerhalb von 24 Stunden.

Zu den erbeuteten Informationen zählen Schlüssel für KI-Plattformen, Zahlungsdienstleister, AWS und Kommunikationsdienste sowie GitHub-Token, Datenbank-Zugangsdaten, Authentifizierungs-Token und Passwörter. Auf der offenen Instanz fanden sich außerdem private SSH-Schlüssel, Cloud-Anmeldedaten, Kubernetes-Dienstkonto-Token, Docker-Container-Variablen und Dateien mit der Befehlshistorie der Shell.

Talos rät, sämtliche in dem Datenbestand enthaltenen Zugangsdaten, Schlüssel, Token und Geheimnisse als kompromittiert zu betrachten und auszutauschen. Andernfalls drohen weitergehende Folgen wie Supply-Chain-Angriffe, seitliche Bewegung im Netzwerk und Compliance-Probleme.