Napadač koristio Telegram botove za praćenje 900+ uspešnih napada na React aplikacije
Napadač je automatizovano hakirao 900+ kompanija korišćenjem Telegram botova za praćenje napada na Next.js aplikacije preko CVE-2025-55182 rane.
Šta se desilo?
Izloženi server otkrio je sofisticirani napad u kojem je napadač automatizovano hakirao preko 900 kompanija korišćenjem alata nazvanog Bissa scanner. Napad se oslanjao na kritičnu ranu u Next.js aplikacijama (CVE-2025-55182), poznatoj kao React2Shell, koja omogućava pristup osetljivim datotekama sa API ključevima, lozinkama i pristupnim tokenima. Napadač je koristio Telegram botove za slanje automatskih obaveštenja o svakom uspešnom iskoriščavanju.
Koga pogađa?
Kompanije koje koriste Next.js framework, posebno finansijske institucije, kripto platforme, platforme za plaćanja i maloprodajni sektor. Bilo koja organizacija sa internet dostupnim web aplikacijama gradi na Next.js tehnologiji je potencijalna žrtva ovog napada.
Kako se zaštititi?
- Odmah ažurirajte Next.js na najnoviju verziju koja sadrži ispravku za CVE-2025-55182
- Proverite i zaštitite .env datoteke - nikada ih ne stavljajte u javno dostupne direktorijume
- Rotirajte sve API ključeve, tokene i lozinke koji su mogli biti izloženi
- Implementirajte Web Application Firewall za detektovanje pokušaja pristupa .env datotekama
- Monitorujte pristupe osetljivim datotekama i logujte sve neobične aktivnosti
- Koristite principu minimalne privilegije za pristup osetljivim fajlovima
Tehnički detalji
CVE-2025-55182 je kritična rana u Next.js koja omogućava čitanje zaštićenih okruženja datoteka. Napadač je koristio Bissa scanner alat sa integracijama za Claude Code i OpenClaw za automatizaciju. Telegram bot @bissapwned_bot je slao strukturirane obaveštenja sa detaljima žrtava, uključujući identitet, privilege i dostupne tajne. Izloženi server je sadržavao preko 13,000 datoteka sa prikupljenim ključevima za Anthropic, OpenAI, AWS, Azure, Stripe i druge pružaoce servisa.
Preporuka Sajber Radara
Svi korisnici Next.js aplikacija moraju hitno da primene sigurnosne zakrpe i da preglede svoje .env datoteke i upravljanje ključevima. Preporuka je da odmah rotirate sve osetljive kredencijale i da aktivirate pojačan monitoring pristupa osetljivim datotekama.