Sus contraseñas ahora están al descubierto — gracias al mal código y a administradores perezosos.
Se acabó la era del hacking manual: ahora los secretos se roban a escala industrial.
Especialistas en seguridad informática detectaron una extensa campaña automatizada de recolección de credenciales que en cuestión de horas afectó a cientos de servidores en todo el mundo. El ataque se desarrolló casi sin intervención humana y se basó en una vulnerabilidad en aplicaciones web populares, convirtiéndolas en una fuente de información confidencial.
El equipo de Cisco Talos reveló las actividades del clúster designado UAT-10608. Los atacantes apuntan a aplicaciones basadas en Next.js, explotando la vulnerabilidad React2Shell (CVE-2025-55182), que permite la ejecución de código en el servidor sin autenticación. A través de ese acceso se inicia una cadena de scripts automatizados que recopilan datos y los envían a un servidor de control.
Según el informe, al menos 766 nodos fueron afectados. En la mayoría de los casos los atacantes extraían cadenas de conexión de bases de datos, claves SSH y credenciales en la nube. Aproximadamente en una cuarta parte de los sistemas se logró acceder a recursos de Amazon Web Services, así como a tokens de GitHub y otros servicios.
En el centro de la infraestructura de los ataques se encuentra la herramienta NEXUS Listener —una aplicación web con interfaz gráfica donde se agregan los datos robados. El panel permite ver estadísticas, filtrar información y analizar los hosts comprometidos. En un caso el acceso a ese panel estaba abierto, lo que permitió estudiar la estructura interna de la operación.
El guion del ataque se construye por etapas. Tras la intrusión inicial se carga en el servidor un pequeño cargador que descarga el script principal. Este recopila de forma secuencial las variables de entorno, claves de acceso, historial de comandos, datos de contenedores y tokens de Kubernetes. Después de cada etapa la información se envía al servidor de control.
Los datos obtenidos abren amplias posibilidades para ataques posteriores. Las claves robadas de sistemas de pago permiten realizar operaciones financieras, las cuentas en la nube permiten controlar la infraestructura, y las claves SSH permiten moverse entre sistemas dentro de una misma red. Un riesgo adicional está relacionado con el acceso a registros de paquetes, lo que crea la amenaza de ataques a la cadena de suministro.
El análisis indica que los atacantes probablemente usan escaneo automatizado de Internet, orientándose a servicios expuestos y sus configuraciones. Ese enfoque permite encontrar rápidamente sistemas vulnerables y escalar los ataques sin trabajo manual.
Los especialistas ya han notificado a las partes afectadas y trabajan con proveedores para bloquear los datos comprometidos. Se recomienda a las organizaciones actualizar urgentemente los sistemas, cambiar las claves de acceso y revisar la configuración de la infraestructura en la nube y de contenedores.