【安全圈】黑客利用 Telegram 機(jī)器人追蹤 900 余次成功的 React2Shell 漏洞利用

關(guān)鍵詞

漏洞

攻擊行動(dòng)曝光

新近曝光的一臺(tái)服務(wù)器揭示了威脅攻擊者如何利用自動(dòng)化工具、AI 輔助和 Telegram 機(jī)器人悄無(wú)聲息地入侵了全球 900 多家企業(yè)。這項(xiàng)圍繞名為"Bissa scanner"工具展開(kāi)的大規(guī)模行動(dòng)，專門針對(duì)暴露在互聯(lián)網(wǎng)上的 Web 應(yīng)用程序，竊取敏感憑證，并將實(shí)時(shí)漏洞利用警報(bào)直接發(fā)送至攻擊者的 Telegram 賬戶。

漏洞利用機(jī)制

攻擊的核心是利用 Next.js 中的一個(gè)關(guān)鍵漏洞（CVE-2025-55182），安全研究人員稱之為 React2Shell。該漏洞使攻擊者能夠針對(duì)數(shù)百萬(wàn)臺(tái) Web 服務(wù)器，竊取通常包含密碼、API 密鑰和訪問(wèn)令牌的敏感環(huán)境文件（.env）。威脅攻擊者并非隨機(jī)掃描，而是構(gòu)建了結(jié)構(gòu)化工作流程，根據(jù)被盜數(shù)據(jù)的潛在價(jià)值對(duì)受害者進(jìn)行查找、利用和分級(jí)。金融機(jī)構(gòu)、加密貨幣平臺(tái)和零售企業(yè)是受影響最嚴(yán)重的行業(yè)。

自動(dòng)化攻擊基礎(chǔ)設(shè)施

DFIR Report 分析師在發(fā)現(xiàn)一臺(tái)暴露的服務(wù)器后確認(rèn)了此次攻擊行動(dòng)的全貌，該服務(wù)器存儲(chǔ)了分布在 150 多個(gè)目錄中的 13,000 多個(gè)文件。研究人員指出，這些內(nèi)容遠(yuǎn)非簡(jiǎn)單的數(shù)據(jù)轉(zhuǎn)儲(chǔ)，而是展示了高度專業(yè)化的攻擊行動(dòng)，所有漏洞利用腳本、受害者數(shù)據(jù)暫存、憑證收集和訪問(wèn)驗(yàn)證都在同一地點(diǎn)運(yùn)行。暴露的主機(jī)還顯示，攻擊者使用 Claude Code 和名為 OpenClaw 的工具進(jìn)行故障排除和工作流管理，為大規(guī)模漏洞利用行動(dòng)提供了罕見(jiàn)的自動(dòng)化水平和效率。

Telegram 實(shí)時(shí)通知系統(tǒng)

此次發(fā)現(xiàn)最引人注目的是攻擊者將 Telegram 用作實(shí)時(shí)通知系統(tǒng)。Bissa scanner 框架中的運(yùn)行腳本硬編碼了與名為 @bissapwned_bot 的 Telegram 機(jī)器人相關(guān)聯(lián)的令牌。每當(dāng)掃描器確認(rèn)一次成功的 React2Shell 漏洞利用時(shí)，機(jī)器人就會(huì)直接向攻擊者的私人 Telegram 聊天發(fā)送結(jié)構(gòu)化警報(bào)。公開(kāi)可識(shí)別為 Telegram 用戶名 @BonJoviGoesHard、顯示名稱為"Dr. Tube"的操作員，每條確認(rèn)的攻擊都會(huì)收到一行信息，包含受害者的身份、云環(huán)境狀態(tài)、權(quán)限級(jí)別和可用密鑰。這使得攻擊者能夠近乎實(shí)時(shí)地從即時(shí)通訊應(yīng)用中篩選數(shù)百次入侵。

憑證收集規(guī)模

憑證收集規(guī)模驚人。攻擊者從數(shù)萬(wàn)個(gè) .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密鑰和令牌，AWS 和 Azure 等云平臺(tái)，Stripe 和 PayPal 等支付系統(tǒng)，以及 MongoDB 和 Supabase 等數(shù)據(jù)庫(kù)的訪問(wèn)憑證。在 2026 年 4 月 10 日至 21 日期間，攻擊者使用兼容 S3 的 Filebase 向名為"bissapromax"的云存儲(chǔ)桶上傳了超過(guò) 65,000 個(gè)歸檔文件條目，顯示出收集管道的自動(dòng)化程度和持續(xù)性。

Telegram 機(jī)器人通知系統(tǒng)工作原理

Telegram 警報(bào)設(shè)置是整個(gè)行動(dòng)中最具技術(shù)揭示性的部分之一。@bissapwned_bot 發(fā)送的每條確認(rèn)消息都帶有結(jié)構(gòu)化標(biāo)頭，包含消息 ID、日期、發(fā)送者用戶名和機(jī)器人用戶 ID。消息正文以表情符號(hào)分隔的字段單行書(shū)寫(xiě)，使攻擊者無(wú)需手動(dòng)登錄服務(wù)器即可立即了解每個(gè)受害者的概況。這種設(shè)計(jì)選擇顯示出明顯的操作成熟度：攻擊者希望在查看結(jié)果時(shí)獲得速度、清晰度和最小工作量。

DFIR Report 分析師發(fā)現(xiàn)攻擊者至少運(yùn)行了兩個(gè)獨(dú)立的機(jī)器人：用于掃描警報(bào)的 @bissapwned_bot 和由 OpenClaw 驅(qū)動(dòng)的 AI 控制子系統(tǒng)中的 @bissa_scan_bot。對(duì) Telegram API 的元數(shù)據(jù)查詢證實(shí)，兩個(gè)機(jī)器人在發(fā)現(xiàn)時(shí)都保持活躍狀態(tài)。目標(biāo)聊天解析為機(jī)器人與單個(gè)操作員之間的私人對(duì)話，確認(rèn)這是一次單人操作、集中管理的攻擊行動(dòng)。這種基礎(chǔ)設(shè)施投入水平表明，攻擊者長(zhǎng)期從事此類操作，存儲(chǔ)階段名稱可追溯至 2025 年 9 月。

防御建議

DFIR Report 研究人員提出了幾項(xiàng)組織應(yīng)立即采取的強(qiáng)有力防御措施：

1. 積極打補(bǔ)丁并訂閱供應(yīng)商公告，確保關(guān)鍵 CVE 不會(huì)在事件發(fā)生前被忽視

2. 將生產(chǎn)憑證從 .env 文件遷移到適當(dāng)?shù)拿荑€管理器，在運(yùn)行時(shí)注入具有短生命周期和窄權(quán)限的憑證

3. 通過(guò)記錄日志的代理控制應(yīng)用層的出站流量，防止被入侵主機(jī)靜默連接攻擊者基礎(chǔ)設(shè)施

4. 定期輪換憑證，掃描代碼和構(gòu)建產(chǎn)物中嵌入的密鑰，并設(shè)置觸發(fā)警報(bào)的蜜罐令牌

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！