Au moins 766 serveurs Next.js ont été compromis via React2Shell (CVE-2025-55182). Les attaquants utilisent le panneau C2 NEXUS Listener pour centraliser les credentials volés depuis les fichiers .env.
En bref
- Au moins 766 serveurs Next.js compromis via la faille React2Shell CVE-2025-55182 (CVSS 10.0)
- Les attaquants exfiltrent automatiquement les fichiers .env contenant clés API, tokens et mots de passe
- Un panneau C2 baptisé NEXUS Listener centralise les credentials volés avec statistiques en temps réel
Les faits
Des chercheurs en sécurité ont révélé début avril 2026 qu'au moins 766 serveurs hébergeant des applications Next.js ont été compromis à travers l'exploitation de la vulnérabilité CVE-2025-55182, connue sous le nom de React2Shell. Cette faille critique avec un score CVSS de 10.0 affecte les React Server Components et le Next.js App Router, permettant une exécution de code arbitraire à distance sans authentification. L'information a été rapportée par The Hacker News et confirmée par plusieurs équipes de réponse aux incidents, selon BleepingComputer.
La campagne se distingue par son niveau d'automatisation. Après la compromission initiale, les attaquants déploient des scripts automatisés qui extraient systématiquement les fichiers d'environnement (.env, .env.local, .env.production, .env.development) contenant des credentials sensibles : clés API, tokens d'authentification, identifiants de bases de données et secrets d'application. Les données volées sont ensuite exfiltrées vers un serveur de commande et contrôle équipé d'une interface web baptisée NEXUS Listener, qui offre aux attaquants un tableau de bord avec statistiques en temps réel sur les hôtes compromis et les credentials récoltés. Les victimes sont réparties sur plusieurs régions géographiques et fournisseurs cloud.
Impact et exposition
Toute application Next.js utilisant le App Router avec des Server Functions est potentiellement vulnérable si elle n'a pas été mise à jour après la divulgation initiale de React2Shell en décembre 2025. Le risque est particulièrement élevé pour les applications déployées sur des plateformes cloud publiques accessibles depuis Internet. Le vol de fichiers .env représente un risque en cascade : les credentials récupérés peuvent servir à compromettre des bases de données, des services cloud, des API tierces et potentiellement pivoter vers d'autres systèmes de l'infrastructure. Les 766 hôtes confirmés ne représentent probablement que la partie visible de l'iceberg, les scans automatisés via Shodan et Censys permettant d'identifier rapidement les déploiements Next.js exposés.
Recommandations
- Mettre à jour immédiatement Next.js et React vers les versions corrigées — vérifier que le correctif React2Shell est bien appliqué
- Effectuer une rotation complète de tous les secrets contenus dans les fichiers .env de vos applications Next.js
- Auditer les journaux d'accès de vos serveurs pour détecter des requêtes suspectes ciblant les endpoints Server Functions
- Migrer les secrets applicatifs vers un gestionnaire de secrets dédié plutôt que de les stocker dans des fichiers .env en production
Alerte critique
Si vous exploitez des applications Next.js en production, considérez vos fichiers .env comme potentiellement compromis. Effectuez une rotation de tous vos secrets et tokens immédiatement, même si vous ne détectez pas de signes de compromission. Le coût d'une rotation préventive est négligeable comparé aux conséquences d'un vol de credentials non détecté.
Comment savoir si mon application Next.js est vulnérable à React2Shell ?
Vérifiez votre version de Next.js avec npm list next ou yarn list next. Si vous utilisez le App Router (répertoire app/) avec des Server Functions et que votre version est antérieure au correctif de décembre 2025, votre application est vulnérable. Consultez le bulletin de sécurité de Vercel pour les numéros de versions exactes. Les applications utilisant uniquement le Pages Router ne sont pas affectées.
Comment détecter si mes fichiers .env ont été exfiltrés ?
Recherchez dans vos journaux serveur des requêtes POST inhabituelles vers vos endpoints Server Functions, notamment avec des payloads RSC malformés. Vérifiez également les connexions sortantes suspectes depuis vos serveurs Next.js vers des adresses IP inconnues. Des outils comme Falco ou Sysdig peuvent aider à détecter les lectures anormales de fichiers .env au niveau système.
Cette campagne illustre les conséquences durables d'une vulnérabilité critique dans un framework largement déployé. Dès décembre 2025, nous avions couvert la divulgation initiale de React2Shell, suivie par la compromission de LexisNexis affectant 400 000 profils. Le stockage de secrets dans des fichiers .env reste une pratique risquée que cette attaque met en lumière de manière brutale. Pour les équipes qui souhaitent renforcer leur posture de sécurité applicative, un environnement de test permet de valider les correctifs avant déploiement en production. La surveillance comportementale des applications en production reste le meilleur filet de sécurité.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
HPE AOS-CX : une faille CVSS 9.8 permet le reset des mots de passe admin
HPE publie un correctif pour CVE-2026-23813, une faille CVSS 9.8 dans AOS-CX permettant à un attaquant non authentifié de réinitialiser les mots de passe admin des switches Aruba.
Cisco corrige deux failles critiques CVSS 9.8 dans IMC et SSM
Cisco publie des correctifs urgents pour deux failles CVSS 9.8 dans IMC et SSM On-Prem. CVE-2026-20093 permet la prise de contrôle admin sans authentification, CVE-2026-20160 offre une exécution root à distance.
Le FBI alerte sur les risques des applications mobiles chinoises
Le FBI déconseille l'utilisation d'applications mobiles chinoises comme TikTok, Temu ou DeepSeek, citant les lois de sécurité nationale permettant l'accès aux données.
Commentaires (1)
Laisser un commentaire