【安全圈】黑客利用 Telegram 機器人追蹤 900 余次成功的 React2Shell 漏洞利用

關鍵詞

漏洞

攻擊行動曝光

新近曝光的一臺服務器揭示了威脅攻擊者如何利用自動化工具、AI 輔助和 Telegram 機器人悄無聲息地入侵了全球 900 多家企業。這項圍繞名為"Bissa scanner"工具展開的大規模行動，專門針對暴露在互聯網上的 Web 應用程序，竊取敏感憑證，并將實時漏洞利用警報直接發送至攻擊者的 Telegram 賬戶。

漏洞利用機制

攻擊的核心是利用 Next.js 中的一個關鍵漏洞（CVE-2025-55182），安全研究人員稱之為 React2Shell。該漏洞使攻擊者能夠針對數百萬臺 Web 服務器，竊取通常包含密碼、API 密鑰和訪問令牌的敏感環境文件（.env）。威脅攻擊者并非隨機掃描，而是構建了結構化工作流程，根據被盜數據的潛在價值對受害者進行查找、利用和分級。金融機構、加密貨幣平臺和零售企業是受影響最嚴重的行業。

自動化攻擊基礎設施

DFIR Report 分析師在發現一臺暴露的服務器后確認了此次攻擊行動的全貌，該服務器存儲了分布在 150 多個目錄中的 13,000 多個文件。研究人員指出，這些內容遠非簡單的數據轉儲，而是展示了高度專業化的攻擊行動，所有漏洞利用腳本、受害者數據暫存、憑證收集和訪問驗證都在同一地點運行。暴露的主機還顯示，攻擊者使用 Claude Code 和名為 OpenClaw 的工具進行故障排除和工作流管理，為大規模漏洞利用行動提供了罕見的自動化水平和效率。

Telegram 實時通知系統

此次發現最引人注目的是攻擊者將 Telegram 用作實時通知系統。Bissa scanner 框架中的運行腳本硬編碼了與名為 @bissapwned_bot 的 Telegram 機器人相關聯的令牌。每當掃描器確認一次成功的 React2Shell 漏洞利用時，機器人就會直接向攻擊者的私人 Telegram 聊天發送結構化警報。公開可識別為 Telegram 用戶名 @BonJoviGoesHard、顯示名稱為"Dr. Tube"的操作員，每條確認的攻擊都會收到一行信息，包含受害者的身份、云環境狀態、權限級別和可用密鑰。這使得攻擊者能夠近乎實時地從即時通訊應用中篩選數百次入侵。

憑證收集規模

憑證收集規模驚人。攻擊者從數萬個 .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密鑰和令牌，AWS 和 Azure 等云平臺，Stripe 和 PayPal 等支付系統，以及 MongoDB 和 Supabase 等數據庫的訪問憑證。在 2026 年 4 月 10 日至 21 日期間，攻擊者使用兼容 S3 的 Filebase 向名為"bissapromax"的云存儲桶上傳了超過 65,000 個歸檔文件條目，顯示出收集管道的自動化程度和持續性。

Telegram 機器人通知系統工作原理

Telegram 警報設置是整個行動中最具技術揭示性的部分之一。@bissapwned_bot 發送的每條確認消息都帶有結構化標頭，包含消息 ID、日期、發送者用戶名和機器人用戶 ID。消息正文以表情符號分隔的字段單行書寫，使攻擊者無需手動登錄服務器即可立即了解每個受害者的概況。這種設計選擇顯示出明顯的操作成熟度：攻擊者希望在查看結果時獲得速度、清晰度和最小工作量。

DFIR Report 分析師發現攻擊者至少運行了兩個獨立的機器人：用于掃描警報的 @bissapwned_bot 和由 OpenClaw 驅動的 AI 控制子系統中的 @bissa_scan_bot。對 Telegram API 的元數據查詢證實，兩個機器人在發現時都保持活躍狀態。目標聊天解析為機器人與單個操作員之間的私人對話，確認這是一次單人操作、集中管理的攻擊行動。這種基礎設施投入水平表明，攻擊者長期從事此類操作，存儲階段名稱可追溯至 2025 年 9 月。

防御建議

DFIR Report 研究人員提出了幾項組織應立即采取的強有力防御措施：

1. 積極打補丁并訂閱供應商公告，確保關鍵 CVE 不會在事件發生前被忽視

2. 將生產憑證從 .env 文件遷移到適當的密鑰管理器，在運行時注入具有短生命周期和窄權限的憑證

3. 通過記錄日志的代理控制應用層的出站流量，防止被入侵主機靜默連接攻擊者基礎設施

4. 定期輪換憑證，掃描代碼和構建產物中嵌入的密鑰，并設置觸發警報的蜜罐令牌

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！