Pencurian Rahasia Massal di Cloud

Pencurian Rahasia Massal di Cloud – Dunia pengembangan web modern tengah diguncang oleh operasi serangan siber berskala besar yang memanfaatkan metode otomatisasi untuk menguras rahasia perusahaan dalam waktu singkat.

Para aktor ancaman kini mengalihkan radar mereka ke aplikasi yang dibangun di atas kerangka kerja Next.js, mengeksploitasi celah keamanan kritis yang dikenal sebagai React2Shell (CVE-2025-55182).

Serangan ini bukan sekadar upaya peretasan biasa, ini adalah operasi “pemanenan” data sensitif yang terorganisir dengan target yang mencakup ratusan host di berbagai penyedia layanan cloud dan wilayah geografis.

Kecepatan serangan ini sangat mengkhawatirkan. Laporan terbaru menunjukkan bahwa kerangka kerja serangan otomatis yang digunakan mampu melumpuhkan setidaknya 766 host hanya dalam kurun waktu 24 jam.

Dengan akses ke data lingkungan (environment secrets), kunci API, hingga kredensial infrastruktur awan, penyerang memiliki kunci utama untuk melakukan pengambilalihan akun secara total dan melancarkan serangan rantai pasok (supply chain attacks) yang lebih luas.

UAT-10608 dan Framework NEXUS Listener

Peneliti keamanan mengatribusikan aktivitas ini kepada kluster ancaman yang dilacak sebagai UAT-10608. Inti dari operasi mereka adalah sebuah kerangka kerja manajemen serangan bernama NEXUS Listener.

Melalui akses terhadap instansi NEXUS Listener yang terpapar, para ahli berhasil membedah cara kerja internal dari operasi ini.

NEXUS Listener berfungsi sebagai pusat kendali (Command-and-Control) yang memiliki antarmuka canggih untuk mengelola hasil curian.

Panel utamanya menyediakan statistik real-time mengenai jumlah host yang berhasil dikompromi, jenis kredensial yang diekstraksi, hingga durasi aktif aplikasi serangan tersebut.

Desain yang intuitif ini memungkinkan penyerang untuk melakukan pencarian, penyaringan, dan analisis statistik terhadap data hasil jarahan dengan sangat efisien.

Dari Pemindaian hingga Ekstraksi

Rantai serangan UAT-10608 dirancang untuk berjalan secara otonom tanpa memerlukan intervensi manual yang intens. Proses ini berlangsung dalam beberapa fase teknis yang rapi:

• Penyerang menggunakan skrip pemindai massal untuk mencari aplikasi Next.js yang belum melakukan patching terhadap kerentanan React2Shell.
• Begitu aplikasi rentan ditemukan, penyerang mengeksploitasi celah tersebut untuk mendapatkan akses eksekusi kode.
• Sebuah skrip berbahaya ditempatkan di direktori sementara standar (/tmp) pada host korban. Skrip ini menjalankan rutinitas pengambilan data multi-fase yang sangat agresif.
• Data sensitif dikirimkan dalam potongan-potongan (chunks) melalui permintaan HTTP melalui port 8080 menuju server C2 yang menjalankan NEXUS Listener.

Daftar “Jarahan” Digital yang Menjadi Target

Volume dan variasi data yang dikumpulkan dalam operasi ini sangat mengejutkan. Penyerang tidak hanya mencari satu jenis informasi, melainkan mencoba menguras seluruh identitas digital dari server yang terinfeksi.

Beberapa rahasia sensitif yang terbukti telah diekstraksi meliputi:

• Variabel Lingkungan & Rahasia: Kunci API, kredensial basis data, serta token akses untuk GitHub dan GitLab.
• Kunci Akses Infrastruktur: Kunci privat SSH yang dapat digunakan untuk pergerakan lateral di dalam jaringan.
• Kredensial Cloud: Metadata dari penyedia AWS, GCP, dan Azure, termasuk kredensial IAM (Identity and Access Management).
• Aset Kontainer: Token Kubernetes, informasi Docker, serta data runtime kontainer.
• Data Jejak Digital: Riwayat perintah (command history), proses yang sedang berjalan, dan data sensitif lainnya yang tersimpan dalam variabel lingkungan.
• Risiko Regulasi: Selain risiko teknis, pencurian data yang mencakup informasi identitas pribadi (PII) menempatkan organisasi pada risiko konsekuensi hukum yang berat terkait pelanggaran undang-undang privasi data yang berlaku secara global.

Strategi Mitigasi dan Rekomendasi Pertahanan

Menghadapi ancaman otomatisasi seperti NEXUS Listener, tim administrator sistem dan pengembang web harus mengambil langkah-langkah drastis dan cepat. Kecepatan dalam merespons adalah kunci untuk meminimalkan dampak kerusakan.

Langkah Pemulihan Segera

1. Segera terapkan pembaruan keamanan untuk memperbaiki celah React2Shell pada aplikasi Next.js Anda.
2. Jika terdapat kecurigaan kompromi, segera lakukan rotasi pada semua kunci API, kata sandi basis data, token akses, dan kunci SSH yang terpapar di server tersebut.
3. Lakukan audit menyeluruh terhadap data server-side untuk memastikan tidak ada rahasia yang masih terpapar secara tidak sengaja.

Penguatan Infrastruktur Jangka Panjang

1. Pastikan penggunaan Instance Metadata Service versi 2 pada lingkungan AWS untuk mencegah pencurian kredensial melalui eksploitasi SSRF.
2. Aktifkan alat pemindaian otomatis untuk mendeteksi jika ada rahasia atau kunci akses yang secara tidak sengaja tersimpan dalam repositori kode atau variabel lingkungan.
3. Terapkan Web Application Firewall (WAF) atau Runtime Application Self-Protection (RASP) yang dikonfigurasi khusus untuk mendeteksi pola serangan yang menargetkan kerangka kerja Next.js.
4. Terapkan hak akses minimum pada setiap kontainer dan peran cloud untuk membatasi ruang gerak penyerang jika satu titik berhasil ditembus.

Menghadapi Otomatisasi dengan Kewaspadaan

Eksploitasi massal terhadap aplikasi Next.js melalui kerangka kerja NEXUS Listener membuktikan bahwa penjahat siber kini telah mencapai tingkat kematangan operasional yang sangat tinggi.

Mereka tidak lagi mencari target satu per satu, melainkan menggunakan “jaring” otomatis yang mampu menangkap ratusan korban dalam sehari.

Pencurian kunci SSH dan kredensial cloud secara masif membuka pintu bagi serangan lanjutan yang jauh lebih merusak, termasuk pengambilalihan total infrastruktur awan perusahaan.

Bagi para pengembang, menjaga kebersihan kode dan ketepatan konfigurasi variabel lingkungan bukan lagi sekadar praktik terbaik, melainkan benteng pertahanan utama untuk melindungi aset digital perusahaan dari pemangsa otomatis yang terus mengintai di balik jaringan global.

Sumber berita:

WeLiveSecurity