Bajada: Una campaña masiva atribuida al clúster UAT-10608 está explotando React2Shell en aplicaciones Next.js expuestas para extraer credenciales, tokens cloud y secretos de runtime a gran escala. El hallazgo obliga a combinar parcheo urgente con rotación de credenciales y controles de identidad más estrictos en entornos cloud y Kubernetes.
Introducción
La seguridad de aplicaciones Node.js volvió al centro de la operación diaria de equipos DevOps y SRE tras la publicación de una campaña activa que combina explotación remota y extracción automatizada de secretos. Cisco Talos describió una operación atribuida a UAT-10608 que se apoya en la vulnerabilidad React2Shell (CVE-2025-55182) para comprometer aplicaciones Next.js expuestas a internet y, en minutos, iniciar un flujo de recolección y exfiltración de credenciales.
El punto relevante para infraestructura no es solo la falla inicial, sino la velocidad de monetización técnica: una vez obtenida ejecución remota, los atacantes no se enfocan en una sola credencial, sino en barrer múltiples superficies operativas (variables de entorno, metadatos cloud, tokens de Kubernetes, claves SSH, historiales de shell y datos de contenedores). Ese enfoque multiplica el impacto y reduce el tiempo de reacción disponible para las organizaciones.
Qué ocurrió
Según Talos, la campaña comprometió al menos 766 hosts en distintas regiones y proveedores de nube, usando un framework de recolección denominado NEXUS Listener. La cadena observada inicia con detección automatizada de objetivos Next.js vulnerables y explotación preautenticada de React2Shell. Después de ejecutar código en el servidor, los operadores despliegan scripts por fases para recolectar secretos y enviarlos a un backend de comando y control con interfaz web para análisis de datos robados.
BleepingComputer confirmó el patrón operativo: la exfiltración se hace en bloques, con callbacks HTTP hacia infraestructura de C2 y clasificación por tipo de hallazgo. Esto no parece un ataque manual aislado, sino un pipeline ofensivo orientado a escala y repetición. Microsoft, por su parte, ya había reportado explotación real de CVE-2025-55182 y la utilización posterior de herramientas de persistencia y movimiento lateral en entornos Linux y Windows.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
El principal riesgo operativo es el efecto dominó de credenciales. En una arquitectura moderna, un único servicio comprometido puede exponer variables con acceso a base de datos, APIs de terceros, tokens de CI/CD y credenciales temporales de IAM. Si además se filtran claves SSH o tokens de service account de Kubernetes, el atacante puede pivotear entre namespaces, nodos o cuentas cloud con relativa facilidad.
Para equipos de plataforma, este tipo de incidente también impacta continuidad: obliga a rotaciones masivas de secretos, revalidación de pipelines, auditoría de permisos y potencial congelamiento temporal de despliegues para contener el daño. En organizaciones con alta automatización, el costo no está solo en remediar la vulnerabilidad, sino en reconstruir confianza sobre identidades de máquina y rutas de acceso entre servicios.
Detalles técnicos
React2Shell (CVE-2025-55182) es una vulnerabilidad de ejecución remota preautenticada en componentes server-side de React/Next.js. El abuso parte de payloads serializados maliciosos que, al deserializarse sin validación suficiente en endpoints de funciones servidor, habilitan ejecución arbitraria en el proceso Node.js. Microsoft la calificó con severidad crítica y destacó su explotación temprana en escenarios reales.
En la campaña actual, una vez lograda la ejecución, el script de harvesting ejecuta fases diferenciadas: captura de entorno de procesos, extracción de secretos en runtimes JS, lectura de llaves SSH, consulta a metadata services de AWS/GCP/Azure, recolección de tokens de service account en Kubernetes, enumeración de contenedores Docker y levantamiento de historial de comandos. El modelo por fases permite a los operadores priorizar credenciales de mayor valor y estimar rápidamente qué víctimas justifican explotación adicional.
Un dato técnico crítico es la orientación cloud-native de la recolección. No se limita a contraseñas tradicionales: busca también material de automatización (tokens GitHub/GitLab, secretos de APIs, credenciales temporales de IAM, datos de orquestación). Eso convierte a los entornos CI/CD, Kubernetes y plataformas de integración en objetivos de alto retorno para el atacante.
Qué deberían hacer los administradores o equipos técnicos
- Parchear de inmediato componentes React/Next.js afectados y validar versiones en build images, runners y despliegues activos.
- Asumir compromiso de credenciales en servicios expuestos: rotar claves API, secretos de aplicaciones, credenciales DB, tokens de CI y llaves SSH.
- Reforzar identidad de workloads: aplicar mínimo privilegio en IAM, restringir acceso a metadata services y exigir IMDSv2 en AWS.
- Auditar Kubernetes: revisar permisos de service accounts, deshabilitar tokens automáticos donde no sean necesarios y segmentar namespaces críticos.
- Aumentar detección: buscar callbacks inusuales hacia puertos 8080 externos, acceso anómalo a /tmp, y patrones de exfiltración por fases.
- Blindar la capa de aplicación con WAF/RASP y controles de egress para limitar comunicación de procesos comprometidos hacia C2.
- Ejecutar un post-mortem operativo para ajustar gestión de secretos, rotación automatizada y tiempos de respuesta ante explotación masiva.
Conclusión
La campaña UAT-10608 confirma una tendencia que ya venía acelerando: los atacantes combinan una vulnerabilidad pública con pipelines de recolección preparados para cloud-native. La defensa efectiva no termina en aplicar un parche; requiere tratar la identidad de máquina y la higiene de secretos como parte del plano de confiabilidad, no solo de seguridad. Para equipos DevOps e infraestructura, la prioridad pasa por reducir superficie expuesta, acortar ventanas de rotación y detectar temprano señales de exfiltración automatizada.
Fuentes
- Cisco Talos: UAT-10608 y NEXUS Listener
- BleepingComputer: campaña automatizada de robo de credenciales
- Microsoft Security Blog: explotación y mitigación de CVE-2025-55182