700+ Next.js server React2Shell zaifligi orqali buzildi | CyberNewsUz

⚠️ Hackerlar 700 dan ortiq serverni buzib, database, SSH va AWS kalitlarini o‘g‘irlamoqda. Bu hujum qanday ishlaydi va kimlar xavf ostida? Batafsil saytimizda 👇

Internetda yana bir yirik kiberhujum aniqlandi — bu safar nishonda Next.js asosida ishlovchi web ilovalar.

Cisco Talos tadqiqotchilariga ko‘ra, UAT-10608 deb nomlangan hacker guruhi allaqachon 700 dan ortiq serverni komprometatsiya qilgan. Hujum esa juda xavfli zaiflik — React2Shell orqali amalga oshirilmoqda.

Bu zaiflik aslida CVE-2025-55182 sifatida ro‘yxatga olingan bo‘lib, React Server Components’da mavjud. Eng xavfli tomoni shundaki:

👉 hujum uchun parol ham kerak emas
👉 foydalanuvchi hech narsa bosmaydi
👉 oddiygina maxsus request yetarli

Server noto‘g‘ri tekshiruv sabab hujumchining yashirin buyruqlarini o‘zi bajaradi.

NEXUS Listener Login Prompt(source : Cisco Talos )

Hackerlar bu imkoniyatdan maksimal darajada foydalanmoqda.

Ular avtomatlashtirilgan skanerlar orqali internetni tekshiradi va zaif Next.js serverlarni topadi. Topilishi bilan esa React2Shell exploit ishga tushadi.

Keyin esa…

Serverga zararli skript yuklanadi.

Bu skript oddiy malware emas. U deyarli “raqamli changyutgich” kabi ishlaydi.

U server ichida:

— fayllarni ko‘zdan kechiradi
— xotirani tekshiradi
— cloud sozlamalarni analiz qiladi

va eng qimmat ma’lumotlarni yig‘adi.

NEXUS Listener victims list(source : Cisco Talos )

O‘g‘irlanayotgan ma’lumotlar esa juda jiddiy:

👉 database login va parollar
👉 private SSH kalitlar
👉 AWS cloud credential’lar
👉 Stripe payment key’lar
👉 GitHub access token’lar

Cisco Talos ma’lumotiga ko‘ra:

— 90% serverlarda database ma’lumotlari o‘g‘irlangan
— 80% holatda SSH kalitlar qo‘lga kiritilgan

Bu esa hujumchilar uchun tizim ichida erkin harakat qilish imkonini beradi.

"Barcha o‘g‘irlangan ma’lumotlar esa maxsus boshqaruv paneliga yuboriladi.

U “NEXUS Listener” deb nomlangan.

Faqat 24 soat ichida ushbu panelda 766 ta buzilgan server qayd etilgan.

Bu raqam hujum qanchalik tez va keng tarqalayotganini ko‘rsatadi."

Bu hujumning oqibatlari juda og‘ir bo‘lishi mumkin.

Database qo‘lga tushsa — foydalanuvchi ma’lumotlari ochiladi.
SSH kalitlar o‘g‘irlangan bo‘lsa — butun infratuzilma xavf ostida.
Cloud credential’lar esa — to‘liq tizimni egallash imkonini beradi.

GitHub token’lar esa yanada xavfli:

👉 ular orqali rasmiy loyihalarga zararli kod qo‘shish mumkin

Mutaxassislar ogohlantirmoqda — agar siz Next.js ishlatayotgan bo‘lsangiz, kutib o‘tirmang.

Zudlik bilan:

— tizimni yangilang
— barcha parollarni almashtiring
— API va access tokenlarni yangilang

Shuningdek, serverlarda noma’lum jarayonlar ishlamayotganini tekshirish muhim.

Cloud metadata xizmatlariga kirishni cheklash ham tavsiya qilinmoqda.

Bu hodisa yana bir haqiqatni ko‘rsatdi:

Zamonaviy hujumlar endi faqat “hack qilish” emas, balki to‘liq avtomatlashtirilgan ma’lumot o‘g‘irlash operatsiyasiga aylangan

Va agar tizim o‘z vaqtida yangilanmasa — u avtomatik tarzda nishonga aylanadi.

🚨 Hackerlar 700+ Next.js serverni buzdi: React2Shell orqali ommaviy hujum

Ko'proq: Hujumlar

🚨 Xakerlar botnetni ochiq qoldirdi: root parollar va to‘liq nazorat oshkor bo‘ldi.

🚨 5 000+ sanoat qurilmalari internetda ochiq: Eron APT xakerlari hujumni kuchaytirdi.

🚨 Shimoliy Koreya xakerlari Facebook va Telegram orqali virus tarqatmoqda

🚨 Xaker ChatGPT va Claude yordamida davlat tizimlarini buzdi.

🚨 Xakerlar SVG hiylasi orqali Magento saytlarida karta ma’lumotlarini o‘g‘irlamoqda

🚨 APT28 yangi PRISMEX malware bilan Ukraina va NATO tizimlariga hujum boshladi.

🚨 Eron bilan bog‘liq hackerlar 300+ Microsoft 365 tizimiga hujum boshladi

🚨 Hackerlar 6 oy davomida tayyorlangan hujum bilan $285 millionni o‘g‘irladi.