Operasi pencurian kredensial dalam skala besar baru-baru ini terungkap memanfaatkan celah kritis pada ekosistem React dan Next.js sebagai titik awal kompromi. Aktivitas ini menyoroti bagaimana satu kerentanan dengan tingkat keparahan maksimum dapat dieksploitasi secara sistematis untuk mengakses data sensitif lintas infrastruktur cloud, aplikasi modern, dan layanan pihak ketiga.
Penelitian yang dilakukan oleh tim keamanan dari Cisco Talos mengidentifikasi kampanye ini sebagai bagian dari aktivitas kelompok ancaman yang mereka lacak dengan nama UAT-10608. Dalam laporan tersebut, setidaknya 766 host yang tersebar di berbagai wilayah geografis dan penyedia cloud berhasil dikompromikan. Skala ini menunjukkan bahwa operasi tidak dilakukan secara manual, melainkan melalui pendekatan otomatis yang agresif.
Kerentanan yang menjadi pintu masuk utama adalah CVE-2025-55182, sebuah celah kritis dengan skor CVSS 10.0 yang memengaruhi React Server Components serta App Router pada Next.js. Eksploitasi terhadap celah ini memungkinkan eksekusi kode jarak jauh, memberikan penyerang akses awal ke sistem target tanpa autentikasi. Dengan akses tersebut, pelaku kemudian menanamkan komponen tambahan berupa framework pengumpulan data yang disebut NEXUS Listener.
Setelah berhasil masuk, UAT-10608 tidak berhenti pada tahap eksploitasi awal. Mereka menggunakan skrip otomatis yang dirancang untuk mengekstrak berbagai jenis kredensial dan informasi sensitif dari sistem yang telah dikompromikan. Data yang dikumpulkan mencakup variabel lingkungan, konfigurasi runtime JavaScript, private key SSH, file authorized_keys, serta riwayat perintah shell yang dapat mengungkap aktivitas administratif sebelumnya.
Lebih jauh lagi, skrip tersebut juga mengakses token akun layanan Kubernetes, konfigurasi container Docker, serta berbagai detail terkait lingkungan runtime seperti daftar container aktif, image yang digunakan, port yang terbuka, hingga konfigurasi jaringan dan mount point. Informasi ini memberikan gambaran lengkap tentang arsitektur sistem target.
Tidak hanya berhenti pada sistem lokal, operasi ini juga menargetkan kredensial cloud dengan memanfaatkan Instance Metadata Service dari berbagai penyedia seperti AWS, Google Cloud, dan Microsoft Azure. Melalui teknik ini, pelaku dapat memperoleh kredensial sementara yang terkait dengan peran IAM, yang sering kali memiliki hak akses luas jika tidak dikonfigurasi dengan prinsip least privilege.
Selain kredensial infrastruktur, data yang dikumpulkan juga mencakup berbagai API key dan token dari layanan pihak ketiga. Dalam salah satu instance NEXUS Listener yang tidak dilindungi autentikasi, peneliti menemukan data seperti API key Stripe, token dari platform AI seperti OpenAI, Anthropic, dan NVIDIA NIM, serta kredensial layanan komunikasi seperti SendGrid dan Brevo. Token bot Telegram, webhook secret, serta token GitHub dan GitLab juga termasuk dalam dataset yang berhasil diakses.
Semua informasi yang dikumpulkan dikirim ke server command-and-control yang dikendalikan oleh pelaku. Di sisi operator, data tersebut disajikan melalui antarmuka berbasis web yang disebut NEXUS Listener. Aplikasi ini menyediakan GUI yang memungkinkan pelaku untuk menelusuri data hasil curian, melakukan pencarian, serta melihat statistik terkait jumlah host yang berhasil dikompromikan dan jenis kredensial yang diperoleh.
Keberadaan GUI ini menunjukkan tingkat kematangan operasional dari tool yang digunakan. Versi yang saat ini diamati adalah NEXUS Listener V3, yang mengindikasikan bahwa framework ini telah melalui beberapa iterasi pengembangan. Dengan fitur analitik dan visualisasi data, pelaku tidak hanya mengumpulkan informasi, tetapi juga mengelolanya secara sistematis untuk mendukung operasi lanjutan.
Pola penargetan dalam kampanye ini juga memberikan indikasi kuat bahwa proses identifikasi korban dilakukan secara otomatis. Penyerang kemungkinan memanfaatkan layanan seperti Shodan atau Censys, atau bahkan scanner kustom, untuk menemukan deployment Next.js yang dapat diakses publik. Setelah ditemukan, sistem tersebut langsung diuji terhadap kerentanan React2Shell untuk menentukan apakah dapat dieksploitasi.
Pendekatan ini menghasilkan pola serangan yang tidak selektif, di mana target tidak dibatasi pada sektor atau industri tertentu. Sebaliknya, setiap sistem yang memenuhi kriteria teknis menjadi kandidat potensial. Hal ini memperluas permukaan serangan secara signifikan dan meningkatkan jumlah korban dalam waktu singkat.
Dampak dari operasi ini tidak hanya terbatas pada kebocoran kredensial individu. Dataset yang dikumpulkan mencerminkan peta infrastruktur organisasi korban secara menyeluruh. Dari data tersebut, pelaku dapat mengetahui layanan apa yang digunakan, bagaimana konfigurasi sistem dilakukan, penyedia cloud mana yang dipakai, serta integrasi pihak ketiga yang terhubung.
Informasi semacam ini memiliki nilai strategis tinggi dalam konteks serangan lanjutan. Dengan memahami arsitektur target, pelaku dapat merancang serangan yang lebih presisi, termasuk eksploitasi tambahan, lateral movement, hingga kampanye social engineering yang lebih meyakinkan. Selain itu, akses awal ini juga dapat dijual ke aktor lain dalam ekosistem cybercrime.
Temuan ini kembali menegaskan pentingnya praktik keamanan dasar yang sering kali diabaikan dalam implementasi modern. Organisasi disarankan untuk melakukan audit menyeluruh terhadap lingkungan mereka, memastikan bahwa prinsip least privilege diterapkan secara konsisten, serta menghindari penggunaan ulang pasangan kunci SSH.
Selain itu, penerapan mekanisme secret scanning menjadi krusial untuk mendeteksi kredensial yang terekspos. Dalam konteks AWS, penggunaan IMDSv2 harus ditegakkan untuk mengurangi risiko penyalahgunaan metadata instance. Rotasi kredensial secara berkala juga menjadi langkah penting, terutama jika terdapat indikasi kompromi.
Kasus ini menunjukkan bagaimana kombinasi antara kerentanan kritis, otomatisasi eksploitasi, dan manajemen data hasil curian dapat menciptakan operasi serangan yang sangat efisien dan berdampak luas. Dalam ekosistem aplikasi modern yang semakin kompleks, satu celah kecil dapat menjadi titik awal kompromi yang berujung pada eksposur data dalam skala besar.
Bagi praktisi keamanan, developer, dan tim DevOps, insiden ini menjadi pengingat bahwa keamanan tidak bisa diperlakukan sebagai lapisan tambahan. Ia harus menjadi bagian integral dari siklus pengembangan dan operasional. Tanpa pendekatan tersebut, sistem yang dibangun dengan teknologi terbaru sekalipun tetap rentan terhadap eksploitasi yang terstruktur dan terotomatisasi seperti yang ditunjukkan dalam kampanye ini.