Next.js RCE漏洞被攻击者利用，通过RCE漏洞启动反向shell

IT疯子

基于Next.js开发的Dify、LobeChat项目受到影响

> 近期，奇安信威胁情报中心红雨滴团队在私有情报生产流程发现最近披露的Next.js RCE(CVE-2025-55182)正在被海量黑客团伙利用，攻击者通过RCE漏洞启动反向shell，随后执行curl或者wget等命令下载后续payload并执行。
>
> 鉴于众多 Web 框架都内含 Next.js，但漏洞预警只提供 Next.js 的版本信息。从客户视角看，要评估大量开源框架是否受此牵连，是一项极其繁重的任务。目前我们观察到Dify(快速开发、部署和运营 AI 应用的开源平台)、LobeChat (开源 AI 聊天应用与开发框架)和各类客户自研web系统正在被入侵。
>
> 其中案例一在短短两天内入侵了800多台服务器，涉及全球26个国家和地区。


案例一
捕获到的CVE-2025-55182 EXP如下：

向66.3154.106.246:50317反弹shell，攻击者随后执行了两种不同的行为，第一种是在受害者设备上安装监控和代理工具用于远程控制，首先下载脚本update.sh并执行，该脚本会下载并执行脚本ninstall.sh。

ninstall.sh用于下载开源项目 nezha agent。首先会调用deps_check判断当前系统是否安装：curl、unzip、grep 这 3 个命令。

调用cloudflare接口判断受害者机器的地理信息：

如果是中国IP，则从gitee.com下载nezha agent，非中国IP则通过github下载。


下载完成后指定服务器域名和密钥连接nezha服务器。攻击者自己搭建了nezha的服务端，对应域名dashboard.checkstauts.site，于2025年12月5号注册。


其功能用于下载和配置代理工具sing-box，用于在受害服务器上搭建代理服务。

最后将搭建完成的代理服务器信息上传到指定的telegram bot 上。

案例二
CVE-2025-55182 EXP信息如下：

最终从128.199.194.97:9001/runnv.tar.gz下载挖矿组件，运行挖矿程序。config文件如下：

---

附IOC
Md5:

df0ca249bb8a033a616742a59f732906

C2：

106.15.124.100:6666

171.252.32.135:7700

38.246.244.223:12233

65.49.236.227:6666

66.154.106.246:50317

8.155.144.158:8892

66.154.106.246:8088

dashboard.checkstauts.site:443

128.199.194.97:9001
矿池地址：

clearskyspark.top:9200

deepcloudspark.top:9200

greenhillmatrix.top:9200

silentmountcode.top:9200

154.89.152.247:9200

154.89.152.168:9200

154.89.152.151:9200

154.89.152.170:9200

来源：【附IOC】Next.js RCE漏洞在野利用事件分析