Uma operação de grande escala conduzida por hackers está explorando uma vulnerabilidade crítica em aplicações baseadas em Next.js para roubo massivo de credenciais e dados sensíveis. A campanha utiliza a falha CVE-2025-55182 — classificada com pontuação máxima (CVSS 10.0) — como vetor inicial de ataque, permitindo execução remota de código nos sistemas comprometidos.

A investigação conduzida pela Cisco Talos identificou que pelo menos 766 servidores foram invadidos em diferentes regiões e provedores de nuvem. O grupo responsável, rastreado como UAT-10608, tem atuado de forma automatizada, explorando aplicações vulneráveis expostas na internet.

Após obter acesso inicial, os hackers implantam um conjunto de scripts automatizados projetados para coletar e exfiltrar uma ampla variedade de informações críticas. Entre os dados roubados estão credenciais de banco de dados, chaves privadas SSH, tokens de acesso a plataformas como GitHub e GitLab, chaves de API do Stripe, além de credenciais temporárias associadas a ambientes em nuvem como AWS, Google Cloud e Microsoft Azure.

A operação vai além da coleta básica de dados. Os invasores também capturam variáveis de ambiente, histórico de comandos executados no sistema, configurações de containers Docker e tokens de autenticação de serviços Kubernetes. Esse nível de visibilidade permite não apenas acesso direto aos sistemas comprometidos, mas também a compreensão detalhada da arquitetura e das integrações utilizadas pelas vítimas.

No centro da operação está uma plataforma chamada NEXUS Listener — uma interface web protegida por senha que organiza e apresenta todas as informações roubadas. A ferramenta oferece recursos de busca e análise, permitindo que os hackers explorem os dados de forma estruturada, identifiquem padrões e priorizem alvos para ataques futuros.

A sofisticação da campanha indica o uso de varreduras automatizadas em larga escala, possivelmente utilizando ferramentas como Shodan e Censys, para identificar aplicações vulneráveis expostas publicamente. Esse tipo de abordagem reforça o caráter indiscriminado do ataque, atingindo qualquer ambiente que não tenha aplicado correções de segurança.

Outro ponto de preocupação é a evolução contínua do framework utilizado. A versão atual do NEXUS Listener (V3) sugere um ciclo ativo de desenvolvimento por parte dos hackers, indicando que a operação está em expansão e tende a se tornar ainda mais eficiente e perigosa.

Especialistas alertam que o impacto vai além do roubo de credenciais individuais. O conjunto de dados coletados funciona como um verdadeiro “mapa da infraestrutura” das organizações comprometidas, revelando serviços utilizados, configurações internas, integrações com terceiros e arquitetura em nuvem. Essas informações podem ser utilizadas para ataques direcionados, campanhas de engenharia social ou até mesmo comercializadas em mercados clandestinos.

Diante desse cenário, recomenda-se que organizações adotem medidas imediatas, como revisão de permissões seguindo o princípio do menor privilégio, rotação de credenciais, implementação de mecanismos de detecção de vazamento de segredos, além da atualização urgente de sistemas vulneráveis.