2026-04-29 04:47:40 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档披露黑客利用Telegram机器人自动化追踪900余次React2Shell漏洞（CVE-2025-55182）攻击，通过Bissascanner工具窃取.env文件中的云凭证与支付密钥，主要针对金融和加密货币行业。攻击者使用AI辅助工具实现高效漏洞利用，并通过Telegram机器人实时推送入侵警报。防御建议包括及时打补丁、迁移凭证至密钥管理器、控制出站流量和定期轮换密钥。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,安全运营,WEB安全

cover_image

【安全圈】黑客利用 Telegram 机器人追踪 900 余次成功的 React2Shell 漏洞利用

安全圈

2026年4月25日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

攻击行动曝光

新近曝光的一台服务器揭示了威胁攻击者如何利用自动化工具、AI 辅助和 Telegram 机器人悄无声息地入侵了全球 900 多家企业。这项围绕名为”Bissa scanner”工具展开的大规模行动，专门针对暴露在互联网上的 Web 应用程序，窃取敏感凭证，并将实时漏洞利用警报直接发送至攻击者的 Telegram 账户。

漏洞利用机制

攻击的核心是利用 Next.js 中的一个关键漏洞（CVE-2025-55182），安全研究人员称之为 React2Shell。该漏洞使攻击者能够针对数百万台 Web 服务器，窃取通常包含密码、API 密钥和访问令牌的敏感环境文件（.env）。威胁攻击者并非随机扫描，而是构建了结构化工作流程，根据被盗数据的潜在价值对受害者进行查找、利用和分级。金融机构、加密货币平台和零售企业是受影响最严重的行业。

自动化攻击基础设施

DFIR Report 分析师在发现一台暴露的服务器后确认了此次攻击行动的全貌，该服务器存储了分布在 150 多个目录中的 13,000 多个文件。研究人员指出，这些内容远非简单的数据转储，而是展示了高度专业化的攻击行动，所有漏洞利用脚本、受害者数据暂存、凭证收集和访问验证都在同一地点运行。暴露的主机还显示，攻击者使用 Claude Code 和名为 OpenClaw 的工具进行故障排除和工作流管理，为大规模漏洞利用行动提供了罕见的自动化水平和效率。

Telegram 实时通知系统

此次发现最引人注目的是攻击者将 Telegram 用作实时通知系统。Bissa scanner 框架中的运行脚本硬编码了与名为 @bissapwned_bot 的 Telegram 机器人相关联的令牌。每当扫描器确认一次成功的 React2Shell 漏洞利用时，机器人就会直接向攻击者的私人 Telegram 聊天发送结构化警报。公开可识别为 Telegram 用户名 @BonJoviGoesHard、显示名称为”Dr. Tube”的操作员，每条确认的攻击都会收到一行信息，包含受害者的身份、云环境状态、权限级别和可用密钥。这使得攻击者能够近乎实时地从即时通讯应用中筛选数百次入侵。

凭证收集规模

凭证收集规模惊人。攻击者从数万个 .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密钥和令牌，AWS 和 Azure 等云平台，Stripe 和 PayPal 等支付系统，以及 MongoDB 和 Supabase 等数据库的访问凭证。在 2026 年 4 月 10 日至 21 日期间，攻击者使用兼容 S3 的 Filebase 向名为”bissapromax”的云存储桶上传了超过 65,000 个归档文件条目，显示出收集管道的自动化程度和持续性。

Telegram 机器人通知系统工作原理

Telegram 警报设置是整个行动中最具技术揭示性的部分之一。@bissapwned_bot 发送的每条确认消息都带有结构化标头，包含消息 ID、日期、发送者用户名和机器人用户 ID。消息正文以表情符号分隔的字段单行书写，使攻击者无需手动登录服务器即可立即了解每个受害者的概况。这种设计选择显示出明显的操作成熟度：攻击者希望在查看结果时获得速度、清晰度和最小工作量。

DFIR Report 分析师发现攻击者至少运行了两个独立的机器人：用于扫描警报的 @bissapwned_bot 和由 OpenClaw 驱动的 AI 控制子系统中的 @bissa_scan_bot。对 Telegram API 的元数据查询证实，两个机器人在发现时都保持活跃状态。目标聊天解析为机器人与单个操作员之间的私人对话，确认这是一次单人操作、集中管理的攻击行动。这种基础设施投入水平表明，攻击者长期从事此类操作，存储阶段名称可追溯至 2025 年 9 月。

防御建议

DFIR Report 研究人员提出了几项组织应立即采取的强有力防御措施：

积极打补丁并订阅供应商公告，确保关键 CVE 不会在事件发生前被忽视
将生产凭证从 .env 文件迁移到适当的密钥管理器，在运行时注入具有短生命周期和窄权限的凭证
通过记录日志的代理控制应用层的出站流量，防止被入侵主机静默连接攻击者基础设施
定期轮换凭证，扫描代码和构建产物中嵌入的密钥，并设置触发警报的蜜罐令牌

END

阅读推荐

【安全圈】Bitwarden CLI 的 npm 包遭入侵，开发者凭证被盗

【安全圈】黑客利用 Breeze Cache WordPress 插件文件上传漏洞发动攻击

【安全圈】UNC6692 通过微软 Teams 冒充 IT 服务台部署 SNOW 恶意软件

【安全圈】《王者荣耀》惊现逆天bug

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】黑客利用 Telegram 机器人追踪 900 余次成功的 React2Shell 漏洞利用》