Next.js RCE漏洞在野利用事件分析

背景

近期,奇安信威胁情报中心红雨滴团队在私有情报生产流程中发现,最近披露的Next.js远程代码执行漏洞(CVE-2025-55182)正在被大量黑客团伙利用。攻击者通过该RCE漏洞启动反向shell,随后执行curl或者wget等命令下载后续payload并执行。鉴于众多Web框架都内含Next.js,但漏洞预警只提供Next.js的版本信息。从客户视角看,要评估大量开源框架是否受此牵连,是一项极其繁重的任务。目前我们观察到Dify(快速开发、部署和运营AI应用的开源平台)、LobeChat(开源AI聊天应用与开发框架)和各类客户自研web系统正在被入侵。其中案例一在短短两天内入侵了800多台服务器,涉及全球26个国家和地区。

案例一

捕获到的CVE-2025-55182 EXP如下:攻击者向特定IP地址反弹shell,随后执行了两种不同的行为。第一种是在受害者设备上安装监控和代理工具用于远程控制,首先下载脚本update.sh并执行,该脚本会下载并执行脚本ninstall.sh。ninstall.sh用于下载开源项目nezha agent。首先会调用deps_check判断当前系统是否安装curl、unzip、grep这3个命令。调用cloudflare接口判断受害者机器的地理信息:如果是中国IP,则从gitee.com下载nezha agent,非中国IP则通过github下载。下载完成后指定服务器域名和密钥连接nezha服务器。攻击者自己搭建了nezha的服务端,对应域名dashboard.checkstauts.site,于2025年12月5号注册。根据Nezha控制台显示,共有800多台服务器中招,其中521台处于在线状态。之后会下载另一个脚本install.sh,其功能用于下载和配置代理工具sing-box,用于在受害服务器上搭建代理服务。最后将搭建完成的代理服务器信息上传到指定的telegram bot上。

案例二

CVE-2025-55182 EXP信息如下:最终从特定IP地址下载挖矿组件。config文件如下:

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

附IOC

  • Md5: df0ca249bb8a033a616742a59f732906

  • C2:

    • 106.15.124.100:6666
    • 171.252.32.135:7700
    • 38.246.244.223:12233
    • 65.49.236.227:6666
    • 66.154.106.246:50317
    • 8.155.144.158:8892
    • 66.154.106.246:8088
    • dashboard.checkstauts.site:443
    • 128.199.194.97:9001

  • 矿池地址:

    • clearskyspark.top:9200
    • deepcloudspark.top:9200
    • greenhillmatrix.top:9200
    • silentmountcode.top:9200
    • 154.89.152.247:9200
    • 154.89.152.168:9200
    • 154.89.152.151:9200
    • 154.89.152.170:9200

标签: none

评论已关闭