Next.js-Hosts weltweit durch automatisierten Cyberangriff kompromittiert

Eine hochgradig automatisierte Cyberangriffskampagne hat Hunderte von Next.js-Servern weltweit gehackt und Zugangsdaten im industriellen Maßstab gestohlen. Laut einem aktuellen Bericht von Cisco Talos nutzt die als UAT-10608 identifizierte Angreifergruppe eine kritische Schwachstelle in React Server Components aus, um Cloud-Tokens, SSH-Schlüssel und Umgebungsvariablen zu erbeuten.

Während professionelle Hacker gezielt Server-Infrastrukturen angreifen, rücken im Alltag oft die psychologischen Schwachstellen der Mitarbeiter in den Fokus der Kriminellen. Erfahren Sie in diesem kostenlosen Report, welche Taktiken Angreifer nutzen und wie Sie Ihr Unternehmen effektiv gegen Phishing und Betrug absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Das NEXUS Listener Framework: Die Kommandozentrale der Angreifer

Herzstück der Angriffe ist eine eigens entwickelte Sammelplattform namens NEXUS Listener. Dieses professionelle Web-Interface ermöglicht es den Cyberkriminellen, die gestohlenen Daten zentral zu sichten, zu durchsuchen und zu kategorisieren. Die Automatisierung ist dabei der Schlüssel zum Erfolg: Sobald ein verwundbarer Next.js-Host durch Scans identifiziert wird, startet ein mehrstufiges Tool, das gezielt .env-Dateien, AWS-Konfigurationen und Git-Credentials ausliest. Diese Daten öffnen den Angreifern die Tür zur gesamten Cloud-Infrastruktur der betroffenen Unternehmen.

Die Geschwindigkeit ist atemberaubend. Die Angreifer haben bereits Zugriff auf mindestens 766 Server erlangt – quer durch alle Branchen und Cloud-Anbieter. Da der Prozess voll automatisiert abläuft, überholt er oft herkömmliche Sicherheitssysteme. Viele Unternehmen bemerken den Diebstahl ihrer sensiblen Umgebungsvariablen erst, wenn die Daten längst auf den Servern der Angreifer liegen.

Die Schwachstelle CVE-2025-55182: „React2Shell“

Die Angriffe nutzen die kritische Lücke CVE-2025-55182, auch bekannt als React2Shell. Diese Remote-Code-Ausführungsschwachstelle (RCE) mit dem höchsten Schweregrad 10.0 steckt in React Server Components (RSC). Das Problem: Eine unsichere Deserialisierung von Daten im „Flight“-Protokoll von React ermöglicht es Angreifern, über eine speziell präparierte HTTP-Anfrage beliebigen JavaScript-Code auf dem Server auszuführen.

Das Tückische: Anwendungen können verwundbar sein, selbst wenn Entwickler keine Server Functions explizit implementiert haben. Wenn die App React Server Components nutzt und eine anfällige Framework-Version läuft, sind die Angriffswege standardmäßig offen. Dieser „vulnerable by default“-Zustand hat zur hohen Erfolgsquote der UAT-10608-Kampagne beigetragen.

Globale Auswirkungen und akute Gefahren

Die gestohlenen Zugangsdaten sind ein gefundenes Fressen für weiterführende Angriffe. Mit Cloud-Tokens und SSH-Schlüsseln umgehen die Kriminellen die klassische Perimeter-Abwehr. Sie können sich lateral in den Firmennetzwerken bewegen, auf Datenbanken zugreifen oder Ransomware vorbereiten. Die Kampagne zeigt erneut eine gefährliche „Patch-Lücke“: Obwohl Sicherheitsupdates von Vercel und dem React-Team bereits seit Dezember 2025 verfügbar sind, sind viele Produktivsysteme vier Monate später immer noch nicht aktualisiert.

Der Schutz vor solch komplexen Cyberangriffen erfordert eine proaktive Strategie und aktuelle Kenntnisse über die neuesten Bedrohungstrends. Dieses Gratis-E-Book zeigt IT-Verantwortlichen und Unternehmern, wie sie Sicherheitslücken schließen und ihre Firma ohne teure Investitionen langfristig schützen können. Gratis E-Book: Cyber Security Bedrohungen abwenden

So müssen sich Unternehmen jetzt schützen

Die Sicherheitsexperten drängen auf sofortiges Handeln:
1. Patchen: Alle Next.js- und React-basierten Anwendungen müssen umgehend auf die neuesten, gepatchten Versionen aktualisiert werden.
2. Credential Rotation: Alle potenziell kompromittierten Zugangsdaten – API-Keys, Tokens, SSH-Schlüssel – müssen sofort ausgetauscht werden. Ein reines Update der Software reicht nicht aus, wenn Angreifer bereits gültige Keys besitzen.
3. Härten der Cloud-Umgebung: Auf AWS-Instanzen sollte IMDSv2 (Instance Metadata Service Version 2) erzwingend aktiviert werden. Das Prinzip der geringsten Rechte (Least Privilege) für Zugriffe begrenzt den Schaden eines kompromittierten Hosts.

Die UAT-10608-Kampagne ist ein Weckruf. Sie zeigt, wie schnell sich Angreifer bekannte Schwachstellen zu eigen machen und sie mit hochgradiger Automatisierung global ausnutzen. In einer Welt, in der moderne Web-Frameworks immer mehr Logik auf die Server-Seite verlagern, werden kontinuierliche Überwachung, schnelles Patch-Management und ein Zero-Trust-Ansatz für Zugangsdaten zur überlebenswichtigen Notwendigkeit.

boerse | 69059889 |