Saltar al contenido

2 de abril de 2026 • Dogalyir • 4 min de lectura

Ciberataque masivo explota vulnerabilidad crítica en Next.js para robar credenciales en 766 servidores

Ciberataque masivo explota vulnerabilidad crítica en Next.js para robar credenciales en 766 servidores

Ciberataque masivo explota vulnerabilidad crítica en Next.js para robar credenciales en 766 servidores

La ciberseguridad enfrenta un nuevo desafío con la aparición de una campaña de ataque a gran escala que ha comprometido al menos 766 servidores en múltiples regiones geográficas y proveedores de nube. La operación, atribuida al grupo de amenazas identificado como UAT-10608, aprovecha una vulnerabilidad crítica en aplicaciones Next.js para desplegar un sofisticado framework de recolección de credenciales.

La puerta de entrada: CVE-2025-55182

El punto de entrada para estos ataques es la vulnerabilidad CVE-2025-55182, calificada con un puntaje CVSS de 10.0 (el máximo posible). Esta falla crítica afecta específicamente a React Server Components y al App Router de Next.js, permitiendo a los atacantes ejecutar código de forma remota en servidores vulnerables.

Lo que hace particularmente peligrosa esta vulnerabilidad es su capacidad para comprometer aplicaciones web modernas construidas con tecnologías ampliamente adoptadas en el ecosistema de desarrollo actual. En Dogalyir, donde trabajamos constantemente con frameworks como Next.js para crear soluciones tecnológicas robustas, comprendemos la importancia de mantener actualizadas las dependencias y aplicar parches de seguridad de manera oportuna.

El mecanismo de ataque

Una vez que los atacantes obtienen acceso inicial mediante la explotación de CVE-2025-55182, despliegan un dropper que instala un script de recolección en múltiples fases. Este mecanismo automatizado extrae sistemáticamente información sensible de los sistemas comprometidos:

  • Variables de entorno y configuración del entorno JavaScript
  • Claves privadas SSH y archivos authorized_keys
  • Historial de comandos ejecutados en el shell
  • Tokens de cuentas de servicio de Kubernetes
  • Configuraciones de contenedores Docker (imágenes, puertos expuestos, configuraciones de red)
  • Claves API de servicios como Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid y Brevo
  • Credenciales temporales asociadas a roles IAM en AWS, Google Cloud y Microsoft Azure
  • Tokens de bots de Telegram, secretos de webhooks y tokens de GitHub/GitLab
  • Cadenas de conexión a bases de datos y otros secretos de aplicaciones

NEXUS Listener: El framework de recolección

El componente central de esta operación es NEXUS Listener, una aplicación web con interfaz gráfica que los atacantes utilizan para organizar y analizar la información robada. Actualmente en su versión V3, esta herramienta ha evolucionado significativamente a través de múltiples iteraciones de desarrollo.

La interfaz incluye capacidades de búsqueda avanzada y presenta estadísticas precompiladas sobre el número de hosts comprometidos y los tipos de credenciales extraídas. Los operadores pueden navegar fácilmente por todos los sistemas vulnerados y monitorear el tiempo de actividad de la propia aplicación de recolección.

Patrones de detección y alcance

El análisis de Cisco Talos revela que los atacantes emplean técnicas de escaneo automatizado, probablemente utilizando servicios como Shodan o Censys, para identificar despliegues públicos de Next.js y probarlos en busca de la vulnerabilidad. El patrón de ataque indiscriminado y la amplia distribución geográfica de las víctimas sugieren una operación altamente automatizada.

Lo más preocupante es que el conjunto de datos recopilado representa mucho más que una simple colección de credenciales individuales. Como señalan los investigadores, “el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones víctimas: qué servicios ejecutan, cómo están configurados, qué proveedores de nube utilizan y qué integraciones de terceros tienen implementadas”.

Esta inteligencia tiene un valor significativo para ataques dirigidos posteriores, campañas de ingeniería social o incluso para la venta de acceso a otros actores maliciosos.

Recomendaciones de seguridad

Para organizaciones que utilizan Next.js o tecnologías similares, es fundamental implementar medidas proactivas:

  1. Aplicar parches inmediatamente: Actualizar todas las instancias de Next.js para corregir CVE-2025-55182 y cualquier otra vulnerabilidad conocida.
  2. Auditar entornos regularmente: Revisar configuraciones y permisos para aplicar el principio de privilegio mínimo.
  3. Habilitar escaneo de secretos: Implementar herramientas que detecten accidentalmente credenciales expuestas en el código.
  4. Evitar reutilización de claves SSH: Utilizar pares de claves únicos para diferentes servicios y entornos.
  5. Implementar IMDSv2: Aplicar la versión 2 del Instance Metadata Service en todas las instancias de AWS EC2.
  6. Rotar credenciales periódicamente: Cambiar claves y tokens regularmente, especialmente si se sospecha un posible compromiso.

En el ecosistema de desarrollo moderno, donde la velocidad de implementación a menudo compite con las consideraciones de seguridad, es crucial encontrar un equilibrio que no comprometa la protección de los datos. Las soluciones tecnológicas desarrolladas por empresas como Dogalyir incorporan desde su diseño principios de seguridad que ayudan a mitigar este tipo de amenazas, pero la responsabilidad compartida entre desarrolladores, operadores y proveedores sigue siendo fundamental.

La sofisticación de herramientas como NEXUS Listener demuestra que los atacantes continúan profesionalizando sus operaciones, lo que requiere que las organizaciones mantengan un nivel igualmente profesional en sus defensas. La monitorización continua, la educación del personal y la implementación de mejores prácticas de desarrollo seguro son componentes esenciales para proteger los activos digitales en un panorama de amenazas en constante evolución.