Next.js React2Shell शोषण से बड़े पैमाने पर 766 होस्ट हैक, Drift Protocol ने Solana मल्टीसिग हैक में $280M खोए, Cisco ने दो 9.8 CVSS गंभीर खामियाँ पैच कीं, ShareFile Pre-Auth RCE चेन से 30K इंस्टेंस उजागर
Cisco Talos ने UAT-10608 द्वारा CVE-2025-55182 (React2Shell) के बड़े पैमाने पर शोषण का खुलासा किया — NEXUS Listener फ्रेमवर्क का उपयोग करके 766 Next.js होस्ट से क्रेडेंशियल चोरी। DeFi प्लेटफॉर्म Drift Protocol ने Solana पर Security Council मल्टीसिग शक्तियों पर कब्जे के बाद $280 मिलियन खोए। Cisco ने IMC प्रमाणीकरण बाईपास (CVE-2026-20093) और SSM कमांड इंजेक्शन (CVE-2026-20160) के लिए आपातकालीन पैच जारी किए, दोनों CVSS 9.8। Progress ShareFile pre-auth RCE चेन 30,000 इंटरनेट-एक्सपोज्ड इंस्टेंस को खतरे में डालती है। Apple ने DarkSword एक्सप्लॉइट किट को रोकने के लिए iOS 18.7.7 का विस्तार किया।
🔴 Next.js React2Shell बड़े पैमाने पर शोषित — NEXUS Listener अभियान द्वारा 766 होस्ट हैक
⚠️ गंभीर — Next.js तुरंत पैच करें (CVE-2025-55182, CVSS 10.0)
एक बड़े पैमाने पर स्वचालित क्रेडेंशियल हार्वेस्टिंग ऑपरेशन सक्रिय रूप से Next.js App Router डिप्लॉयमेंट में React2Shell भेद्यता का शोषण कर रहा है। कई क्लाउड प्रदाताओं में कम से कम 766 होस्ट प्रभावित हुए हैं। किसी भी प्रभावित होस्ट पर सभी सीक्रेट रोटेट करें।
Cisco Talos ने UAT-10608 पर एक विस्तृत रिपोर्ट प्रकाशित की है — एक खतरा क्लस्टर जो CVE-2025-55182 का शोषण करके औद्योगिक स्तर पर क्रेडेंशियल हार्वेस्टिंग ऑपरेशन चला रहा है — यह गंभीर React Server Components / Next.js App Router दोष जिसे React2Shell के रूप में जाना जाता है, रिमोट कोड एक्ज़ीक्यूशन को सक्षम करता है।
हमला अत्यधिक स्वचालित है: खतरा अभिनेता सार्वजनिक रूप से पहुंच योग्य Next.js डिप्लॉयमेंट को स्कैन करता है, भेद्यता के लिए उनका परीक्षण करता है, और NEXUS Listener संग्रह फ्रेमवर्क को तैनात करता है — एक बहु-चरण हार्वेस्टिंग टूलकिट जो अब अपने तीसरे प्रमुख संस्करण में है।
क्या चोरी होता है
- एनवायरनमेंट वेरिएबल OS और JS रनटाइम से
- SSH प्राइवेट कीज़ और authorized_keys फाइलें
- शेल कमांड हिस्ट्री (.bash_history, .zsh_history)
- Kubernetes सर्विस अकाउंट टोकन
- Docker कंटेनर कॉन्फिगरेशन (images, ports, networks, mounts, env vars)
- Cloud IAM क्रेडेंशियल AWS, GCP और Azure के Instance Metadata Service से
- API कीज़ — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
- डेटाबेस कनेक्शन स्ट्रिंग और Telegram बॉट टोकन
NEXUS Listener C2 डैशबोर्ड
एक्सफिल्ट्रेटेड डेटा NEXUS Listener V3 नामक पासवर्ड-संरक्षित वेब GUI में जाता है, जो हमलावर को सभी प्रभावित होस्ट, चोरी किए गए क्रेडेंशियल और एनालिटिक्स तक खोज योग्य पहुंच प्रदान करता है। Talos ने एक अनप्रोटेक्टेड NEXUS Listener इंस्टेंस से डेटा प्राप्त किया, जिससे चोरी की गई सामग्री के दायरे की पुष्टि हुई।
अंधाधुंध लक्षण पैटर्न बताता है कि UAT-10608 इंटरनेट स्तर पर कमजोर Next.js डिप्लॉयमेंट की पहचान करने के लिए स्वचालित स्कैनर (Shodan, Censys या कस्टम) का उपयोग करता है। Next.js App Router चलाने वाले संगठनों को तुरंत पैच करना चाहिए और सभी सीक्रेट रोटेट करने चाहिए — AWS कीज़, डेटाबेस क्रेडेंशियल, SSH कीज़ और API टोकन — किसी भी संभावित रूप से उजागर होस्ट पर।
💰 Drift Protocol ने परिष्कृत Solana मल्टीसिग हैक में $280 मिलियन खोए
⚠️ गंभीर — सभी Drift Protocol फंक्शन फ्रोजन
Drift Protocol से $280M+ निकाले गए जब एक हमलावर ने पूर्व-हस्ताक्षरित durable nonce ट्रांज़ैक्शन का उपयोग करके Security Council मल्टीसिग शक्तियों को हाईजैक कर लिया। उधार/ऋण जमा, वॉल्ट जमा और ट्रेडिंग फंड प्रभावित हैं। फंड जमा न करें।
Drift Protocol, Solana ब्लॉकचेन पर एक अग्रणी DeFi ट्रेडिंग प्लेटफॉर्म जिसमें 200,000 ट्रेडर और $55 बिलियन कुल ट्रेडिंग वॉल्यूम है, ने एक सावधानीपूर्वक नियोजित डकैती में कम से कम $280 मिलियन खोए जिसमें किसी स्मार्ट कॉन्ट्रैक्ट भेद्यता का शोषण नहीं किया गया।
| तारीख | कार्रवाई |
|---|---|
| 23-30 मार्च | हमलावर ने durable nonce अकाउंट सेट किए, Security Council सदस्यों से 2/5 मल्टीसिग स्वीकृतियां प्राप्त कीं |
| 1 अप्रैल (निष्पादन) | वैध ट्रांज़ैक्शन निष्पादित, तुरंत पूर्व-हस्ताक्षरित दुर्भावनापूर्ण ट्रांज़ैक्शन के बाद |
| कुछ मिनट बाद | एडमिन कंट्रोल हमलावर को ट्रांसफर, दुर्भावनापूर्ण एसेट पेश, निकासी सीमाएं हटाईं |
| 1 अप्रैल (निकासी) | प्रोटोकॉल रिजर्व से $280M+ निकाले गए |
इस हमले को क्या अलग बनाता है
हमलावर ने durable nonce accounts का लाभ उठाया — एक Solana सुविधा जो पूर्व-हस्ताक्षरित ट्रांज़ैक्शन को अनिश्चित काल तक वैध रहने देती है — डकैती को दिनों पहले तैयार करने के लिए। न्यूनतम 2-ऑफ-5 Security Council स्वीकृतियां प्राप्त करके और दुर्भावनापूर्ण ट्रांज़ैक्शन पर पूर्व-हस्ताक्षर करके, हमलावर चुने हुए क्षण में सर्जिकल सटीकता के साथ निकासी कर सका।
यह स्मार्ट कॉन्ट्रैक्ट बग या फ्लैश लोन अटैक नहीं था — यह एक गवर्नेंस-स्तरीय समझौता था जिसने मल्टीसिग प्रशासन के ट्रस्ट मॉडल का शोषण किया। Drift चोरी किए गए फंड को ट्रेस और फ्रीज करने के लिए सुरक्षा फर्मों, एक्सचेंजों और कानून प्रवर्तन के साथ काम कर रहा है। DSOL प्रभावित नहीं है और इंश्योरेंस फंड एसेट सुरक्षित हैं।
🛡️ Cisco ने IMC और SSM में दो 9.8 CVSS गंभीर भेद्यताएं पैच कीं
⚠️ गंभीर — IMC (CVE-2026-20093) और SSM (CVE-2026-20160) तुरंत पैच करें
दोनों भेद्यताएं अप्रमाणित रिमोट हमलावरों को एडमिन/रूट एक्सेस प्राप्त करने की अनुमति देती हैं। कोई वर्कअराउंड उपलब्ध नहीं — पैचिंग ही एकमात्र उपाय है।
CVE-2026-20093 — IMC प्रमाणीकरण बाईपास (CVSS 9.8)
Cisco Integrated Management Controller में एक दोष अप्रमाणित रिमोट हमलावरों को क्राफ्टेड HTTP अनुरोध भेजकर प्रमाणीकरण बाईपास करने की अनुमति देता है। सफल शोषण हमलावरों को एडमिन सहित किसी भी उपयोगकर्ता के पासवर्ड बदलने और पूर्ण सिस्टम एक्सेस प्राप्त करने देता है।
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160 — SSM On-Prem कमांड इंजेक्शन (CVSS 9.8)
Cisco Smart Software Manager On-Prem में एक आंतरिक सेवा का अनजाने में एक्सपोजर अप्रमाणित हमलावरों को क्राफ्टेड API अनुरोधों के माध्यम से रूट-स्तरीय विशेषाधिकारों के साथ मनमाने कमांड निष्पादित करने की अनुमति देता है। SSM On-Prem संस्करण 9-202601 में ठीक किया गया।
हालांकि किसी भी दोष का अभी तक जंगल में शोषण नहीं किया गया है, हाल ही में प्रकट की गई Cisco भेद्यताओं को खतरा अभिनेताओं द्वारा तेजी से हथियारबंद किया गया है। बिना किसी वर्कअराउंड के, तत्काल पैचिंग ही एकमात्र बचाव है।
📁 Progress ShareFile Pre-Auth RCE चेन — 30,000 इंस्टेंस उजागर
🟠 उच्च — ShareFile Storage Zones Controller को 5.12.4 पर पैच करें
दो चेन की गई भेद्यताएं Progress ShareFile Storage Zones Controller पर अप्रमाणित रिमोट कोड निष्पादन को सक्षम करती हैं। लगभग 30,000 इंस्टेंस इंटरनेट पर उजागर हैं।
आक्रामक सुरक्षा फर्म watchTowr ने Progress ShareFile Storage Zones Controller (SZC) में एक विनाशकारी दो-बग चेन का खुलासा किया है — वह ऑन-प्रिमाइसेस कंपोनेंट जो उद्यमों को उनके फाइल स्टोरेज पर नियंत्रण देता है:
- CVE-2026-2699 — अनुचित HTTP रीडायरेक्ट हैंडलिंग के माध्यम से प्रमाणीकरण बाईपास ShareFile एडमिन इंटरफेस तक पहुंच प्रदान करता है
- CVE-2026-2701 — फाइल अपलोड और एक्सट्रैक्शन कार्यक्षमता के माध्यम से रिमोट कोड निष्पादन, दुर्भावनापूर्ण ASPX वेबशेल की स्थापना को सक्षम करता है
यह क्यों मायने रखता है
फाइल ट्रांसफर सॉल्यूशन रैनसमवेयर समूहों के प्रमुख लक्ष्य हैं — Clop गिरोह ने पहले Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT, MOVEit Transfer, Gladinet CentreStack और Cleo पर हमला किया है। इंटरनेट पर ~30,000 SZC इंस्टेंस उजागर होने (ShadowServer द्वारा 700 की पुष्टि) के साथ, यह भेद्यता चेन उसी उच्च-मूल्य पैटर्न का अनुसरण करती है।
पैच 10 मार्च से ShareFile 5.12.4 में उपलब्ध हैं। ऑन-प्रिमाइसेस स्टोरेज ज़ोन के साथ ShareFile चलाने वाले संगठनों को इसे आपातकालीन प्राथमिकता के रूप में मानना चाहिए।
🍎 Apple ने DarkSword एक्सप्लॉइट किट को रोकने के लिए iOS 18.7.7 का विस्तार किया
Apple ने DarkSword एक्सप्लॉइट किट से बचाने के लिए iOS 18.7.7 और iPadOS 18.7.7 की उपलब्धता को व्यापक उपकरणों तक बढ़ाया है — जुलाई 2025 से सक्रिय एक iOS अटैक टूलकिट जो सऊदी अरब, तुर्की, मलेशिया और यूक्रेन में उपयोगकर्ताओं को लक्षित करता है।
विस्तारित अपडेट अब XR से iPhone 16e तक सभी iPhones और iPads की विस्तृत श्रृंखला को कवर करता है। Apple के लिए यह एक असामान्य कदम है — उपयोगकर्ताओं को iOS 26 पर जाने के लिए बाध्य करने के बजाय, कंपनी उपयोगकर्ताओं को iOS 18 पर रहते हुए सुरक्षित रहने के लिए महत्वपूर्ण सुरक्षा सुधारों को बैकपोर्ट कर रही है।
स्वचालित अपडेट सक्षम उपयोगकर्ताओं को पैच स्वचालित रूप से प्राप्त होगा। जिन्होंने अपडेट नहीं किया है उन्हें तुरंत ऐसा करने का आग्रह किया जाता है।
📋 संक्षिप्त समाचार
- Claude Code लीक का मैलवेयर के लिए दुरुपयोग: खतरा अभिनेता लीक हुए Claude Code स्रोत होने का दावा करने वाले नकली GitHub रिपॉजिटरी के माध्यम से Vidar इन्फोस्टीलर और GhostSocks प्रॉक्सी टूल वितरित कर रहे हैं।
- Stryker वाइपर हमले के बाद पूरी तरह परिचालन: Stryker ने ईरान-लिंक्ड Handala हैक्टिविस्ट समूह द्वारा लगभग 80,000 उपकरणों को वाइप करने के तीन सप्ताह बाद संचालन बहाल किया।
- रेसिडेंशियल प्रॉक्सी 78% IP जांच से बचती हैं: शोध से पता चलता है कि दुर्भावनापूर्ण ट्रैफिक रूटिंग के लिए उपयोग की जाने वाली रेसिडेंशियल प्रॉक्सी 4 बिलियन विश्लेषित सत्रों में से 78% में IP प्रतिष्ठा प्रणालियों से सफलतापूर्वक बचती हैं।
- Trusted Open Source Report 2026: Chainguard की रिपोर्ट बताती है कि AI-त्वरित विकास सुरक्षा परिदृश्य को कैसे नया रूप दे रहा है।
🛡️ अनुशंसित कार्रवाइयाँ
- Next.js: सभी Next.js App Router डिप्लॉयमेंट को CVE-2025-55182 के विरुद्ध तुरंत पैच करें। किसी भी संभावित उजागर होस्ट पर सभी सीक्रेट (AWS, SSH, डेटाबेस, API कीज़) रोटेट करें।
- DeFi गवर्नेंस: मल्टीसिग कॉन्फिगरेशन की समीक्षा करें — सुनिश्चित करें कि थ्रेशोल्ड आवश्यकताएं पर्याप्त हैं और एडमिन ऑपरेशन पर टाइम-लॉक लागू करें।
- Cisco: CVE-2026-20093 (IMC) और CVE-2026-20160 (SSM On-Prem) के लिए बिना देरी पैच लागू करें।
- ShareFile: ShareFile Storage Zones Controller को संस्करण 5.12.4 में अपग्रेड करें।
- Apple: सुनिश्चित करें कि सभी iOS/iPadOS डिवाइस 18.7.7 या बाद के संस्करण में अपडेट हैं।
- Claude Code घोटाला: विकास टीमों को Vidar मैलवेयर वितरित करने वाले GitHub पर नकली Claude Code रिपॉजिटरी के बारे में चेतावनी दें।