文章总结： CVE-2025-55182（React2Shell）是Next.js高危RCE漏洞，被UAT-10608团伙用于自动化攻击。攻击链包括初始RCE打点、多阶段凭证窃取（环境变量/SSH密钥/云元数据等），并通过NEXUSListener面板管理被盗数据。防御建议包括升级Next.js、启用IMDSv2、密钥轮换和最小权限原则。 综合评分： 87 文章分类： 漏洞分析,WEB安全,云安全,安全运营,应急响应

从 RCE 到全量凭证窃取：深度解析 CVE-2025-55182 攻击利用链

原创

Hankzheng Hankzheng

技术修道场

2026年4月8日 08:05 广东

大家好，做前端和全栈开发的兄弟们，这几天可能得火速查查自己家服务器的日志了。最近安全圈爆出了一个大瓜，Cisco Talos 团队追踪到一个名为 UAT-10608 的高级威胁团伙，他们正在疯狂利用 CVE-2025-55182 (React2Shell) 这个满分高危漏洞搞事情。

截至目前，已经有超过 766 台主机被攻陷。不仅是简单的被黑，这些服务器上的数据库凭证、SSH 私钥、AWS/云平台密钥、甚至 GitHub Token 全被人家用自动化脚本“一把梭”给薅走了。

今天我就带大家扒一扒这个黑客团伙的技术路径，看看这个 CVSS 评分高达 10.0 的漏洞究竟是怎么被武器化利用的，以及我们该如何防范这类降维打击。

🚨 第一步：初始打点 —— React2Shell (CVE-2025-55182) 漏洞利用

这次攻击的“排头兵”是专门针对 Next.js 应用程序的 CVE-2025-55182 漏洞。

老手都知道，Next.js 的 App Router 和 React Server Components (RSC) 架构在服务端渲染方面非常强大，但能力越大风险越大。这个漏洞本质上是一个极其致命的远程代码执行（RCE）缺陷。

黑客的攻击手法非常“工业化”。他们并没有手动去挖目标，而是直接调用 Shodan、Censys 这类空间测绘引擎，或者使用定制的扫描器，在全网地毯式搜索暴露在公网上的 Next.js 部署实例。一旦探测到未修复的脆弱版本，直接发送精心构造的 Payload 触发 RCE，获取服务器的初始控制权。

技术解析：

这类 RCE 的可怕之处在于它是“无接触”的（Unauthenticated），攻击者不需要任何账号密码，只要你的 Next.js 服务在外网可达，就能直接执行系统命令。

🕷️ 第二步：载荷投递与多阶段“脱裤”

拿到 Shell 仅仅是个开始。UAT-10608 团伙的核心目的是凭证窃取。

通过 RCE，他们会植入一个 Dropper（下载器），接着部署一个多阶段的复杂提取脚本。这个脚本写得非常“老道”，专门针对云原生环境和微服务架构进行深度扫描。大家来看看他们到底都偷了些什么：

• 运行时环境变量

  直接从 JS Runtime 解析 JSON 格式的环境变量，这是很多应用硬编码密钥的重灾区。

• 服务器核心凭证

  包括 SSH 私钥（id_rsa）和 authorized_keys，有了这些，他们就可以持久化控制或者横向移动。

• 云原生资产

  抓取 Kubernetes (K8s) 的 service account tokens，甚至是 Docker 容器的深层配置（包括运行状态、镜像、暴露端口、网络配置和挂载点）。

• Shell 历史记录

  很多开发喜欢在命令行里带上密码连数据库（比如 mysql -u root -p123456），通过读取 .bash_history 直接白嫖。

🔥 高阶操作：云元数据窃取 最狠的是，这套脚本会去查询实例元数据服务 (IMDS)。不管你用的是 AWS、Google Cloud 还是 Microsoft Azure，它都会尝试请求类似 http://169.254.169.254/latest/meta-data/ 的接口，直接窃取与 IAM 角色关联的临时高权限凭证。

🖥️ 第三步：NEXUS Listener —— 黑产 SaaS 化

窃取完数据后，这些信息会被加密回传到黑客的 C2（命令与控制）服务器上。

Talos 团队在溯源时发现，这个团伙不仅技术硬核，产品思维也很强。他们开发了一个叫 NEXUS Listener 的 Web GUI 面板（目前已经迭代到了 V3 版本）。

这个面板就像是一个暗网版的“数据控制台”。黑客登录后，可以通过可视化界面浏览所有被攻陷的主机，面板上不仅有应用在线时长统计，还有每台机器上成功提取出的凭证分类汇总。

安全研究员在未授权访问该面板时，发现了堆积如山的敏感数据：

• 支付与 AI 接口

  Stripe 支付密钥，OpenAI、Anthropic (Claude)、NVIDIA NIM 的 API Keys。

• 通信与协作

  SendGrid、Telegram 机器人 Token、Webhook secrets。

• 代码托管

  GitHub 和 GitLab 的高权限 Token。

这已经不是单纯的炫技了，这些海量的凭证相当于给受害者企业的底层基础设施画了一张“裸奔”的拓扑图，为后续的定向勒索、供应链攻击或暗网倒卖铺平了道路。

🛡️ 我们该如何自救？防守方实战指南

看完他们的攻击链路，相信大家心里都有数了。针对这次的 React2Shell 在野攻击，我给大家整理了几个切实可行的整改建议：

1. 火速升级 Next.js

   最根本的解决办法，立刻排查业务线中的 Next.js 版本，升级到不受 CVE-2025-55182 影响的安全版本。

2. 强制开启 IMDSv2

   如果你的服务跑在云上（特别是 AWS EC2），必须强制执行 IMDSv2。v2 版本要求使用 PUT 请求获取 Token，能极大程度防御此类基于 SSRF 或无头 RCE 的元数据窃取。

3. 密钥轮换与硬编码审查

   如果你怀疑机器曾经被扫过，不要犹豫，立刻轮换所有环境变量里的 API Key、数据库密码和 SSH 密钥对。在 CI/CD 流程中加入 Secret Scanning 工具，杜绝密钥硬编码。

4. 遵循最小权限原则（PoLP）

   限制应用容器和云主机的 IAM 权限，不要给一个只需要读数据库的服务赋予修改云网络组建的高级权限。

技术的发展总是伴随着攻防的博弈。这次的事件再次给我们敲响了警钟：现代云原生环境下的应用安全，绝对不能心存侥幸。

你所在的公司用到 Next.js 了吗？安全建设防得住这种自动化薅羊毛的攻击吗？欢迎在评论区一起交流踩坑经验！

参考资料：

Cisco Talos 团队对 UAT-10608 团伙的深入追踪与分析报告。

看完觉得有收获，别忘了点个在看和转发，提醒一下身边做前端和云原生的兄弟们赶紧自查！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《从 RCE 到全量凭证窃取：深度解析 CVE-2025-55182 攻击利用链》