Una campaña de ciberespionaje a gran escala ha afectado a 766 servidores web basados en Next.js. Los atacantes explotaron una vulnerabilidad crítica, CVE-2025-55182 (React2Shell), para obtener acceso inicial. Según Cisco Talos, el grupo robó credenciales masivamente, incluyendo claves de bases de datos, secretos de AWS, tokens de GitHub y claves API de Stripe. El incidente subraya los riesgos en frameworks populares.
El vector de ataque: de React2Shell al robo automatizado 🕵️
La vulnerabilidad React2Shell permitió a los atacantes ejecutar código de forma remota en servidores Next.js vulnerables. Tras la explotación inicial, los scripts maliciosos se desplegaron para escanear sistemas en busca de archivos de configuración y credenciales. El proceso automatizado extraía datos sensibles como llaves SSH, historiales de bash y variables de entorno, consolidándolos para su exfiltración. La eficacia radica en la automatización del robo tras la brecha inicial.
Tu servidor Next.js como centro de regalos para ciberdelincuentes 🎁
Parece que algunos administradores configuraron sus servidores como un catálogo de todo lo que un hacker desea. Con solo explotar una vulnerabilidad, los atacantes recibieron un paquete completo: claves de la base de datos, acceso a la nube y hasta los tokens para facturar en Stripe. Es el modelo de suscripción todo incluido que nadie pidió, donde el servicio premium es que te roben todos los datos a la vez. Una lección en no guardar los secretos donde cualquiera con un exploit pueda encontrarlos.