يشهد العالم الرقمي حاليًا حملة هجمات سيبرانية متسارعة تستهدف تطبيقات الويب، حيث يستغل قراصنة اختراقًا أمنيًا خطيرًا يُعرف باسم React2Shell، مستهدفين مواقع مبنية على Next.js. تمكن المهاجمون في غضون 24 ساعة فقط من اختراق 766 خادمًا وسرقة كميات هائلة من البيانات الحساسة، بما في ذلك كلمات المرور ومفاتيح الحوسبة السحابية و بيانات الاعتماد الخاصة بقواعد البيانات.
يُعد هذا الاختراق تحديًا كبيرًا للأمن السيبراني، خاصة مع تزايد الاعتماد على منصات تطوير الويب الحديثة. وتؤكد هذه الحادثة على الحاجة الملحة لتعزيز الإجراءات الأمنية والتصدي للثغرات التي قد تستغلها جهات خبيثة.
ثغرة React2Shell: مفتاح الهجوم السيبراني على Next.js
تكمن الثغرة الأمنية الرئيسية وراء هذه الهجمات في CVE-2025-55182، والمعروفة باسم React2Shell. وتحمل هذه الثغرة تقييمًا بأقصى درجات الخطورة (10.0 على مقياس CVSS)، وتوجد في بروتوكول React Server Components (RSC) Flight، تحديدًا في طريقة معالجة خادم React لطلبات HTTP إلى نقاط النهاية الخاصة بالدوال الخادمة (Server Function).
يكفي طلب HTTP واحد مصمم بعناية ليتمكن المهاجم من تنفيذ تعليمات برمجية على الخادم دون الحاجة إلى أي مصادقة. وقد حصل Next.js أيضًا على رقم تتبع منفصل، CVE-2025-66478، نظرًا لتأثره الكبير بهذه الثغرة.
تمكن باحثو Cisco Talos من تحديد هذه العملية المنهجية والربط بينها وبين مجموعة تهديدات يتابعونها تحت اسم UAT-10608. هذه الحملة تتميز بنهجها المنهجي وغير الانتقائي، حيث يستخدم المهاجمون خدمات فحص مثل Shodan أو Censys لمسح شبكة الإنترنت بحثًا عن تطبيقات Next.js القابلة للوصول علنًا والتي تعمل بإصدارات ضعيفة من React Server Components.
بمجرد تحديد هدف، تعمل الهجمة بأكملها بشكل مستقل، دون الحاجة إلى أي تدخل يدوي بعد تنفيذ الاستغلال الأولي.
حجم الأضرار والبيانات المسروقة
يُعد حجم الأضرار كبيرًا، حيث تم تأكيد اختراق ما لا يقل عن 766 خادمًا عبر مناطق جغرافية متعددة ومقدمي خدمات سحابية مثل AWS، Google Cloud، و Microsoft Azure، وذلك خلال نافذة زمنية لا تتجاوز 24 ساعة. وشملت المواد المسروقة سلاسل الاتصال بقواعد البيانات، ومفاتيح SSH الخاصة، ورموز الوصول السحابي، ورموز GitHub، ومفاتيح Stripe الحية السرية، وبيانات اعتماد خدمة Kubernetes، ومتغيرات البيئة، وسجلات أوامر shell.
تم جمع أكثر من 10,120 ملفًا إجمالًا من الأنظمة المخترقة. ويمتد نطاق هذه الحملة إلى ما هو أبعد من الاستيلاء المباشر على الحسابات. فقد كشف العديد من الخوادم المخترقة عن ملفات مصادقة لمستودعات حزم، بما في ذلك ملفات تهيئة npm و pip التي تحمل بيانات اعتماد للمستودعات.
إذا تمكن المهاجمون من استخدام هذه الرموز لدفع إصدارات خبيثة إلى حزم البرامج الموثوقة، يمكن أن تصل الأضرار إلى أي منظمة تقوم بتثبيت هذه الحزم، مما يحول هذه الهجمة إلى تهديد حقيقي لسلسلة التوريد.
NEXUS Listener: منصة التحكم بالبيانات المسروقة
للتعامل مع التدفق الهائل للمعلومات المسروقة القادمة من مئات الخوادم، قامت UAT-10608 بنشر إطار عمل مخصص للقيادة والتحكم يُعرف باسم NEXUS Listener. توفر هذه المنصة القائمة على الويب، والتي بلغت نسختها الثالثة، لوحة تحكم رسومية للمشغلين، حيث يمكنهم تصفح الخوادم المخترقة، وفرز بيانات الاعتماد المسروقة حسب الفئة، ومراجعة إحصاءات الحصاد، والتحقق من عدد بيانات الاعتماد التي تم استخراجها بنجاح في كل مرحلة من مراحل الهجوم.
تبدأ الهجمة عند تحديد نقطة نهاية ضعيفة، ويتم إرسال طلب HTTP خبيث واحد إلى نقطة نهاية دالة خادم RSC. يقوم الخادم بفصل الحمولة المصممة وتنفيذ تعليمات برمجية عشوائية، حيث يقوم بإنزال سكربت shell خفيف الوزن في دليل مؤقت تحت اسم ملف عشوائي للبقاء متخفيًا. يقوم هذا السكربت بعد ذلك باسترداد سكربت حصاد بيانات الاعتماد متعدد المراحل من البنية التحتية للمهاجم.
تقوم كل مرحلة بجمع نوع مختلف من البيانات، بدءًا من مفاتيح SSH ورموز السحاب وصولًا إلى كلمات مرور قواعد البيانات، وتقوم بالتبليغ عن ذلك إلى خادم NEXUS Listener C2 عبر المنفذ 8080، بما في ذلك اسم المضيف للضحية ومعرف المرحلة. لا يلزم أي تفاعل بشري إضافي، وهذا هو السبب في أن UAT-10608 تمكنت من اختراق مئات الأنظمة بهذه السرعة.
يجب على المؤسسات التي تستخدم Next.js مع App Router أو أي تطبيق لـ React Server Components تطبيق التحديثات الأمنية إلى أحدث إصدار متاح على الفور. يجب تدوير جميع الأسرار في البيئات المتأثرة المحتملة، بما في ذلك مفاتيح AWS، وكلمات مرور قواعد البيانات، ومفاتيح SSH، ورموز API، ورموز GitHub، فورًا. يجب على الفرق مراجعة الحاويات بحثًا عن أدوار مفرطة في الصلاحيات، وفرض IMDSv2 على مثيلات السحابة، وإيقاف إعادة استخدام أزواج مفاتيح SSH عبر أنظمة مختلفة.
تُعد مراقبة حركة مرور HTTP الصادرة من حاويات التطبيقات، خاصة الاتصالات غير المتوقعة إلى عناوين IP غير معروفة على المنفذ 8080، خطوة عملية وهامة للكشف المبكر عن الاختراق النشط.