3 de abril de 2026

Hackers aprovechan falla en Next.js para robar datos de 766 servidores: qué puedes hacer

Hackers aprovechan falla en Next.js para robar datos de 766 servidores: qué puedes hacer

Un grupo de hackers está aprovechando una vulnerabilidad (un fallo de seguridad) en aplicaciones Next.js para robar información valiosa de servidores. Según investigadores de Cisco Talos, lograron comprometer al menos 766 servidores y extraer credenciales, claves SSH, secretos de AWS, claves API de Stripe y tokens de GitHub. Esto significa que los atacantes podrían acceder a bases de datos, controlar servidores de forma remota y obtener información confidencial de empresas.

Cómo funciona el ataque

El ataque se basa en la vulnerabilidad CVE-2025-55182, una falla crítica en React Server Components y Next.js App Router que permite la ejecución remota de código (es decir, los atacantes pueden ejecutar comandos en el servidor afectado desde otra ubicación). Los hackers utilizan esta vulnerabilidad para instalar un programa llamado NEXUS Listener, que recopila y envía información confidencial a un servidor controlado por los atacantes. Este programa es muy completo y busca:

  • Variables de entorno (información de configuración del sistema).
  • Claves privadas SSH (que permiten acceso a servidores).
  • Historial de comandos de la shell (la línea de comandos).
  • Tokens de cuentas de servicio de Kubernetes (para la gestión de contenedores).
  • Configuraciones de contenedores Docker.
  • Claves API (para acceder a servicios como Stripe, OpenAI, etc.).
  • Credenciales temporales asociadas a roles IAM (en AWS, Google Cloud y Azure).
  • Procesos en ejecución.

La herramienta NEXUS Listener ofrece una interfaz web con estadísticas y funciones de búsqueda para facilitar el acceso a la información robada. Los atacantes utilizan escáneres automatizados (como Shodan o Censys) para encontrar servidores vulnerables a la CVE-2025-55182.

A quién afecta

Este ataque afecta a empresas y organizaciones que utilizan Next.js y tienen implementaciones vulnerables a la CVE-2025-55182. La investigación de Cisco Talos identificó hosts comprometidos en múltiples regiones geográficas y proveedores de nube, lo que indica que el ataque es de alcance global.

Qué puedes hacer para protegerte

Si utilizas Next.js, es fundamental que tomes medidas para protegerte de este tipo de ataques. Cisco Talos recomienda:

  • Auditar tus entornos para aplicar el principio de mínimo privilegio (dar a cada usuario solo los permisos necesarios).
  • Activar el escaneo de secretos (para detectar credenciales expuestas).
  • Evitar la reutilización de pares de claves SSH.
  • Implementar IMDSv2 en todas las instancias EC2 de AWS.
  • Rotar las credenciales si sospechas que han sido comprometidas.

Qué significa esto para ti

Este ataque demuestra que los hackers están constantemente buscando nuevas formas de explotar vulnerabilidades en aplicaciones web. La información robada puede ser utilizada para realizar ataques más dirigidos, campañas de ingeniería social o incluso vender el acceso a otros actores maliciosos. Es crucial que las empresas tomen medidas proactivas para proteger sus sistemas y datos.

Fuente: https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/
← Anterior Robo millonario en Drift: ataque de inge...
Siguiente → Descubierta operación de minería de crip...
Escrito por:
Luis Carreón
📰 Otras noticias del día
¡Ojo! Nueva versión de SparkCat roba frases de recuperación de billeteras de criptomonedas en iOS y Android
Robo millonario en Drift: ataque de ingeniería social apunta a Corea del Norte
Descubierta operación de minería de criptomonedas que usa archivos ISO para infectar con troyanos y mineros
Actualizaciones de seguridad para Apache y Nginx
Actualizaciones de seguridad para Apache y Nginx
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio