Cisco Talosは2026年4月2日、UAT-10608と追跡する脅威クラスターによる大規模な自動認証情報窃取キャンペーンを公表しました。Talosによると、この攻撃は主にNext.jsアプリケーションを狙い、React2Shell CVE-2025-55182 を悪用して初期侵入した後、認証情報、SSH鍵、クラウドトークン、環境変数中のシークレットを自動で収集し、NEXUS Listenerと呼ばれるC2基盤へ送信していました。
Talosが確認した範囲では、少なくとも766台のホストが侵害され、収集ファイルは10,120件にのぼります。
何が起きたのか
Talosによると、UAT-10608は公開中のWebアプリケーションのうち、React Server Components RSC を使うNext.js系アプリケーションを主な標的にしていました。
悪用された React2Shell CVE-2025-55182 は、RSCのServer Functionエンドポイントに対して、クライアントから渡されたシリアライズ済みデータを十分な検証なしにデシリアライズする問題で、認証前のリモートコード実行につながるとされています。攻撃者は脆弱なエンドポイントへ細工したHTTPリクエストを送るだけで、サーバー側のNode.jsプロセス上で任意コードを実行できたとTalosは説明しています。
Talosは、この初期侵入が成功した後、追加の手動操作はほぼ不要で、以後は自動化ツールキットが資格情報の抽出と送信を進めるとしておりこの攻撃は、RCEで侵入すること自体が目的ではなく、その先にある大規模な認証情報回収を本命にした運用だったと見るべきです。
関連:Reactの脆弱性 React2Shell(CVE-2025-55182)とは-React Server Components/Next.jsを直撃する脆弱性
手口
侵害後、攻撃者は /tmp 配下にランダムな名前のシェルスクリプトを配置し、nohup でバックグラウンド実行していました。
Talosによると、このスクリプトは段階的に情報を集める構成で、実行中プロセスの環境変数、JavaScriptランタイムから解析した環境情報、SSH秘密鍵、認証文字列、シェル履歴、クラウドメタデータ、Kubernetesのサービスアカウントトークン、Docker設定、実行中プロセスのコマンドラインなどを順番に取得していました。各フェーズが終わるたびに、ホスト名、フェーズ名、IDを含むHTTPリクエストをNEXUS Listenerへ送り返す仕組みです。
このNEXUS Listenerは、単なる受信箱ではありません。
Talosが確認したインスタンスでは、盗んだ情報をデータベースに保存し、WebベースのGUIから閲覧、検索、統計表示までできるようになっていました。Talosは、少なくとも1つのNEXUS Listenerが認証なしで外部公開されていたとし、その画面から766台の侵害ホスト情報や収集済み資格情報の内訳を確認できたとしています。さらに画面タイトルには v3 とあり、運用基盤が複数世代にわたり発展してきたことも示唆されています。
何が盗まれたのか
Talosの分析では、侵害された766台のうち約701台 91.5% からデータベース認証情報、約599台 78.2% からSSH秘密鍵、約196台 25.6% からAWS認証情報、約245台 32.0% からシェル履歴、約87台 11.4% から有効なStripe APIキー、約66台 8.6% からGitHubトークンが取得されていました。
環境変数やJavaScriptランタイム情報からは、OpenAI、Anthropic、NVIDIA NIM、OpenRouter、TavilyといったAI系APIキー、Stripeのライブシークレット、AWSやAzureの認証情報、SendGridやTelegramのトークン、GitHubやGitLabのトークン、平文パスワードを含む DATABASE_URL まで露出していたとされています。
さらにTalosは、78%のホストで完全なPEM形式のSSH秘密鍵と authorized_keys が確認されたとしています。クラウド環境ではAWS IMDS、GCPメタデータサーバー、Azure IMDSへの問い合わせも行われ、インスタンスロールに紐づく一時認証情報の窃取が狙われていました。Kubernetes環境では /var/run/secrets/kubernetes.io/serviceaccount/token の読み取り、Docker環境では稼働中コンテナ、公開ポート、ネットワーク設定、マウントポイント、環境変数の列挙まで実施していました。
なぜ危険なのか
Talosは、このデータセットに含まれる認証情報はすべて完全に侵害された前提で扱うべきだと明言しています。Stripeのライブキーは不正請求や返金操作に使われ得ますし、広いIAM権限を持つAWS認証情報はS3からのデータ流出、EC2制御、AWS組織内の横展開へつながり得ます。平文パスワード入りのデータベース接続文字列は、個人情報、財務情報、独自データへの直接アクセスを許す可能性があります。
加えて、TalosはSSH鍵の再利用リスクを強く問題視しています。アプリケーション側の認証情報をローテーションしても、共有SSH鍵が別システムでも使われていれば、攻撃者はそこから継続的に横移動できるためです。さらに npm や pip のレジストリ認証情報も確認されており、Talosは正規メンテナーになりすましたサプライチェーン攻撃へ発展するおそれも指摘しています。
対策
Talosは対策として、まず getServerSideProps や getStaticProps の実装を点検し、サーバー専用の秘密情報がクライアント側へ渡っていないかを確認するよう求めています。あわせて、NEXT_PUBLIC_ を付ける変数の運用を厳格化し、もし被害プロファイルと重なる可能性があるなら、関連する認証情報を直ちにローテーションすべきだとしています。AWSではIMDSv2の強制、SSH鍵の使い回し廃止、GitHubやAWSなどのシークレットスキャン有効化、Next.js特有の攻撃パターンを意識したWAFやRASP、コンテナ権限の最小化も推奨しています。
出典
UAT-10608: Inside a large-scale automated credential harvesting operation targeting web applications








