Cibercriminosos estão explorando uma falha crítica no Next.js para invadir aplicações expostas à internet e roubar credenciais em larga escala.
A ofensiva já teria atingido 766 servidores, evidenciando a velocidade com que vulnerabilidades em frameworks amplamente adotados podem ser convertidas em operações automatizadas de coleta de dados sensíveis.
A brecha, identificada como CVE-2025-55182 e apelidada de React2Shell, afeta componentes ligados ao funcionamento de aplicações modernas baseadas em React Server Components e App Router.
Na prática, o problema permite execução remota de código sem autenticação em ambientes vulneráveis, o que abre caminho para comprometimento direto do servidor.
Depois da invasão inicial, os operadores implantam um conjunto automatizado voltado à extração de segredos armazenados no ambiente.
Entre os principais alvos estão variáveis de ambiente, credenciais de bancos de dados, chaves SSH, tokens de serviços em nuvem e históricos de comandos executados no sistema.
O impacto vai muito além do servidor explorado.
Com as credenciais obtidas, os invasores podem acessar bancos de dados, assumir contas em serviços externos, movimentar-se lateralmente por outros sistemas e aprofundar a intrusão em infraestruturas de nuvem e ambientes corporativos conectados.
A principal recomendação para empresas é aplicar imediatamente as correções disponíveis, revisar a exposição de endpoints públicos e tratar todas as credenciais presentes em servidores vulneráveis como potencialmente comprometidas.
A rotação de chaves, tokens e senhas deve ser considerada parte essencial da resposta ao incidente.
