Hackers exploram falha no Next.js para roubo massivo de credenciais
Uma campanha hacker em larga escala está explorando a vulnerabilidade CVE-2025-55182, apelidada de React2Shell, no framework Next.js. Em apenas 24 horas, 766 hosts foram comprometidos através do NEXUS Listener, uma ferramenta de exploração automatizada. O ataque permite que invasores coletem segredos ambientais, chaves SSH, credenciais de nuvem (AWS, GCP, Azure), tokens Kubernetes e histórico de comandos, representando uma ameaça crítica à segurança de infraestruturas modernas.
Automatização e exfiltração de dados sensíveis
A campanha é notavelmente automatizada: após a exploração inicial, os atacantes instalam um backdoor que exfiltra dados para um servidor de comando e controle (C2). Esses dados roubados permitem takeover de contas, movimentação lateral dentro das redes e até ataques à cadeia de suprimentos, comprometendo sistemas conectados. A velocidade e escala da operação destacam como vulnerabilidades conhecidas continuam sendo um vetor de ataque lucrativo.
Risco regulatório e impacto setorial
O roubo de credenciais de nuvem e tokens tem implicações diretas em regulamentações de proteção de dados, como a LGPD e o GDPR, pois pode levar ao vazamento de dados pessoais. Setores que dependem pesadamente de infraestrutura como código, como fintechs e empresas de SaaS, são particularmente vulneráveis. A exploração do React2Shell demonstra que mesmo frameworks amplamente adotados podem se tornar pontos fracos se não forem patcheados rapidamente.
Lições e ações urgentes
A campanha reforça a necessidade de gestão rigorosa de vulnerabilidades, incluindo monitoramento contínuo de CVEs e aplicação imediata de patches. Organizações devem auditar ambientes em busca de exposições acidentais de segredos e implementar princípio do menor privilégio para serviços e contas. A automatização dos ataques exige defesas igualmente automatizadas, como scanners de segurança integrados ao CI/CD.
Impacto real no mercado
Incidentes como esse aceleram a demanda por soluções de gestão de postura de segurança (SSPM) e detecção de ameaças em tempo real. Empresas de segurança podem ver um aumento na procura por ferramentas que identifiquem exposições de segredos e configurações incorretas. Para o ecossistema de desenvolvimento, serve como um lembrete severo de que a segurança não pode ser uma camada opcional, especialmente em frameworks que lidam com renderização server-side.