Зловмисники проводять масштабну автоматизовану кампанію з викрадення облікових даних, використовуючи вразливість React2Shell у веб-додатках на базі фреймворку Next.js. За даними дослідників Cisco, за 24 години було скомпрометовано щонайменше 766 серверів у різних хмарних провайдерів. Атака починається зі сканування вразливих додатків, після чого в тимчасову папку завантажується скрипт, який збирає все: змінні середовища, API-ключі, бази даних, SSH-ключи, токени хмарних сервісів AWS/GCP/Azure, Kubernetes-токени та навіть історію команд. Викрадені дані передаються частинами на сервер керування NEXUS Listener через порт 8080, де хакери отримують зручний інтерфейс для пошуку, фільтрації та статистики.

Дослідники відстежили діяльність групи UAT-10608. Викрадені секрети дозволяють повністю перехоплювати хмарні акаунти, доступатися до баз даних і платіжних систем, а також проводити подальші атаки ланцюга постачання. Компанії, чиї сервери були скомпрометовані, ризикують витоком конфіденційної інформації та порушенням законів про захист персональних даних. На момент публікації кампанія тривала в автоматичному режимі, а кількість скомпрометованих хостів продовжувала зростати.