Uma ofensiva cibernética de grande proporção está tirando proveito de uma vulnerabilidade crítica em aplicações desenvolvidas com Next.js, resultando no roubo em larga escala de credenciais e informações sensíveis. O ataque se baseia na falha CVE-2025-55182 — avaliada com pontuação máxima (CVSS 10.0) — que possibilita a execução remota de código em sistemas afetados.
De acordo com análise realizada pela Cisco Talos, ao menos 766 servidores já foram comprometidos em diferentes regiões e provedores de nuvem. O grupo por trás da ação, identificado como UAT-10608, tem operado de forma automatizada, mirando aplicações vulneráveis expostas na internet.
Após invadir os sistemas, os criminosos implantam scripts automatizados capazes de coletar e extrair uma ampla gama de dados críticos. Entre as informações comprometidas estão credenciais de bancos de dados, chaves privadas SSH, tokens de acesso a plataformas como GitHub e GitLab, chaves de API do Stripe, além de credenciais temporárias vinculadas a serviços em nuvem como AWS, Google Cloud e Microsoft Azure.
A campanha não se limita à coleta básica de informações. Os invasores também capturam variáveis de ambiente, histórico de comandos executados, configurações de containers Docker e tokens de autenticação de ambientes Kubernetes. Esse nível de acesso permite não apenas invadir sistemas, mas também entender profundamente a estrutura e as integrações utilizadas pelas organizações afetadas.
No centro da operação está uma ferramenta chamada NEXUS Listener — uma interface web protegida por senha que centraliza e organiza todos os dados roubados. A plataforma oferece funcionalidades de busca e análise, permitindo que os atacantes explorem as informações de forma estruturada, identifiquem padrões e selecionem novos alvos com maior precisão.
A sofisticação do ataque indica o uso de varreduras automatizadas em larga escala, possivelmente com ferramentas como Shodan e Censys, utilizadas para localizar aplicações vulneráveis disponíveis publicamente. Essa estratégia evidencia o caráter amplo e indiscriminado da campanha, que atinge qualquer sistema sem as devidas atualizações de segurança.
Outro fator preocupante é a constante evolução da infraestrutura utilizada pelos criminosos. A versão mais recente do NEXUS Listener (V3) aponta para um desenvolvimento contínuo, sugerindo que a operação segue em expansão e tende a se tornar ainda mais eficiente.
Especialistas alertam que os impactos vão além do simples roubo de credenciais. Os dados coletados funcionam como um verdadeiro “mapa” da infraestrutura das organizações, revelando serviços utilizados, configurações internas, integrações com terceiros e arquitetura em nuvem. Essas informações podem ser exploradas em ataques direcionados, campanhas de engenharia social ou até mesmo vendidas em mercados ilegais.
Diante desse cenário, a recomendação é que empresas adotem medidas imediatas de segurança, como revisão de permissões com base no princípio do menor privilégio, rotação de credenciais, implementação de soluções para detecção de vazamento de segredos e, principalmente, a atualização urgente de sistemas vulneráveis.
