Hakerzy wykorzystują błąd CVE-2025-55182 do ataku na 766 hostów Next.js i kradzieży danych logowania

Świat cyberbezpieczeństwa stanął w obliczu jednego z najbardziej precyzyjnych i dewastujących ataków wymierzonych w nowoczesne frameworki webowe. Wykorzystując lukę oznaczoną jako CVE-2025-55182, grupa hakerów zdołała przełamać zabezpieczenia 766 hostów Next.js, inicjując masową operację kradzieży danych uwierzytelniających na niespotykaną dotąd skalę. To zdarzenie rzuca nowe światło na podatność infrastruktury opartej na React, która dotychczas uchodziła za relatywnie bezpieczną przy zachowaniu standardowych procedur aktualizacji.

Skala incydentu jest o tyle niepokojąca, że uderza bezpośrednio w fundamenty nowoczesnego developmentu. Next.js jest obecnie standardem rynkowym dla aplikacji budowanych w oparciu o React, a jego popularność sprawia, że każda krytyczna podatność staje się "kluczem do królestwa" dla grup przestępczych. Według najnowszych raportów, w tym Zscaler ThreatLabz 2026 VPN Risk Report, automatyzacja procesów ataku drastycznie skróciła czas reakcji człowieka, czyniąc zdalny dostęp najszybszą ścieżką do naruszenia bezpieczeństwa korporacyjnego.

Mechanizm React2Shell i anatomia infekcji

Kluczowym elementem tej operacji jest wykorzystanie wektora infekcji znanego jako React2Shell. Luka CVE-2025-55182 pozwala napastnikom na zdalne wykonanie kodu, co w praktyce oznacza przejęcie kontroli nad procesem renderowania po stronie serwera (SSR). Hakerzy nie ograniczają się jedynie do unieruchomienia serwisów – ich celem jest głęboka infiltracja i eksfiltracja najbardziej wrażliwych zasobów cyfrowych organizacji.

Po uzyskaniu wstępnego dostępu, skrypty napastników automatycznie przeszukują systemy plików w poszukiwaniu zmiennych środowiskowych i plików konfiguracyjnych. Operacja ta, monitorowana przez Cisco Talos, wykazuje wysoki stopień profesjonalizmu – atakujący dokładnie wiedzą, gdzie szukać kluczy, które pozwolą im na dalszą eskalację uprawnień wewnątrz skomplikowanych architektur mikroserwisowych.

Lista skradzionych danych obejmuje krytyczne zasoby, które mogą posłużyć do całkowitego przejęcia infrastruktury firmy:

• Klucze prywatne SSH – umożliwiające swobodne poruszanie się po serwerach produkcyjnych.
• Secrets Amazon Web Services (AWS) – otwierające drogę do zasobów chmurowych, baz danych i kopii zapasowych.
• Klucze API Stripe – dające dostęp do systemów płatności i danych finansowych klientów.
• Tokeny GitHub – pozwalające na kradzież kodu źródłowego lub wstrzykiwanie złośliwego kodu do repozytoriów (Supply Chain Attack).
• Historia komend shell – ułatwiająca zrozumienie topologii sieci i odnalezienie kolejnych punktów styku.

Sztuczna inteligencja jako akcelerator naruszeń

Wspomniany raport Zscaler ThreatLabz 2026 zwraca uwagę na niepokojący trend: AI drastycznie zawęziło okno czasowe, w którym administratorzy mogą zareagować na incydent. W przypadku ataku na 766 hostów Next.js, hakerzy wykorzystali zautomatyzowane narzędzia do masowego skanowania i natychmiastowej eksfiltracji danych. Tradycyjne metody obrony, polegające na ręcznej analizie logów, stają się bezużyteczne, gdy proces od wykrycia luki do kradzieży database credentials trwa zaledwie sekundy.

To, co obserwujemy w przypadku CVE-2025-55182, to ewolucja zagrożeń typu "credential harvesting". Atakujący nie szukają już haseł pojedynczych użytkowników, lecz celują w "tożsamość maszynową". Przejęcie sekretów AWS czy tokenów GitHub pozwala na działanie wewnątrz zaufanego obwodu organizacji, co sprawia, że wykrycie intruza staje się niemal niemożliwe dla standardowych systemów antywirusowych.

Zespoły bezpieczeństwa z Cisco Talos wskazują, że klaster zagrożeń odpowiedzialny za tę operację wykazuje cechy grupy dobrze zorganizowanej, dysponującej zaawansowanym zapleczem technicznym. Wykorzystanie specyficznej podatności w Next.js sugeruje, że napastnicy przeprowadzili dogłębną analizę kodu źródłowego frameworka, zanim zdecydowali się na uderzenie w tak dużą liczbę celów jednocześnie.

Ryzyko systemowe i konieczność redefinicji ochrony

Eksploatacja React2Shell to sygnał ostrzegawczy dla całej branży technologicznej. Problem nie dotyczy tylko błędów w kodzie, ale sposobu, w jaki zarządzamy sekretami w nowoczesnych aplikacjach. Przechowywanie kluczy Stripe czy AWS w miejscach dostępnych dla procesu webowego (nawet jeśli są to zmienne środowiskowe) przy wystąpieniu luki typu RCE (Remote Code Execution) kończy się katastrofą.

"Sztuczna inteligencja zlikwidowała margines błędu dla człowieka i przekształciła dostęp zdalny w najszybszą ścieżkę do naruszenia bezpieczeństwa." – Zscaler ThreatLabz 2026 VPN Risk Report.

W obliczu tak wyrafinowanych ataków, poleganie na tradycyjnych rozwiązaniach VPN czy prostych zaporach ogniowych jest niewystarczające. Infrastruktura Next.js wymaga wdrożenia strategii Zero Trust na poziomie aplikacji. Każdy proces, nawet ten wewnątrz kontenera, powinien posiadać minimalne niezbędne uprawnienia, a dostęp do sekretów powinien być dynamicznie przydzielany i rotowany przez zewnętrzne systemy zarządzania tożsamością.

Analiza CVE-2025-55182 pokazuje, że hakerzy coraz częściej omijają front-end, uderzając bezpośrednio w warstwę logiki serwerowej frameworków javascriptowych. To tam znajdują się najbardziej wartościowe dane, które pozwalają na monetyzację ataku poprzez kradzież środków finansowych (klucze Stripe) lub szantaż oparty na przejętym kodzie źródłowym i danych klientów z baz SQL.

Nowy paradygmat bezpieczeństwa frameworków

Kradzież danych z 766 hostów to prawdopodobnie dopiero wierzchołek góry lodowej. Ataki tego typu mają tendencję do rozprzestrzeniania się, gdy inne grupy przestępcze zaczną implementować podobne techniki oparte na React2Shell. Deweloperzy korzystający z Next.js muszą natychmiast zweryfikować swoje konfiguracje i upewnić się, że nie są podatni na CVE-2025-55182 poprzez aktualizację do najbezpieczniejszych wersji frameworka.

Kluczowe kroki mitygacyjne powinny obejmować:

• Natychmiastową rotację wszystkich AWS secrets i GitHub tokens, które mogły być wystawione na działanie serwera.
• Weryfikację logów pod kątem nietypowych wywołań w historii komend shell.
• Wdrożenie mechanizmów "Secret Scanning" w celu wykrycia przypadkowo opublikowanych kluczy w kodzie lub obrazach kontenerów.
• Przejście na model dostępu bezkluczowego (Keyless) tam, gdzie to możliwe, wykorzystując role IAM zamiast statycznych kluczy API.

Incydent ten udowadnia, że era "bezpieczeństwa przez zaufanie do frameworka" dobiegła końca. W świecie, gdzie AI wspomaga napastników w znajdowaniu i eksploatowaniu luk w czasie rzeczywistym, jedyną skuteczną strategią jest założenie, że system został już naruszony (Assume Breach). Tylko takie podejście pozwoli na ograniczenie szkód w przypadku kolejnych krytycznych podatności, które z pewnością pojawią się w ekosystemie narzędzi kreatywnych i deweloperskich.