حملة UAT-10608: كيف اخترق المهاجمون 766 تطبيق Next.js وسرقوا مفاتيح AWS وبيانات GitHub عبر ثغرة React2Shell

في مطلع أبريل 2026، كشف فريق Cisco Talos عن حملة اختراق ممنهجة يقودها التهديد المُصنَّف UAT-10608، إذ استغلّ المهاجمون ثغرة CVE-2025-55182 المعروفة بـ React2Shell — وهي ثغرة تنفيذ أكواد عن بُعد بدرجة CVSS كاملة 10.0 في React Server Components — لاختراق ما لا يقلّ عن 766 تطبيق Next.js حول العالم وسرقة بيانات اعتماد بالغة الحساسية. البنوك وشركات الفنتك التي تعتمد على تطبيقات Next.js في بوابات العملاء أو الخدمات الداخلية معرّضة لخطر مباشر.

ما هي ثغرة React2Shell وما خطورتها؟

اكتُشفت ثغرة CVE-2025-55182 في ديسمبر 2025 وأُعلن عنها رسمياً في الثالث من الشهر ذاته. تكمن المشكلة في الطريقة التي يعالج بها Next.js App Router طلبات React Server Components (RSC)، حيث يمكن لمهاجم غير مُصادَق إرسال طلب HTTP واحد مُصمَّم بعناية يتجاوز حدود بيئة السيرفر ويُنفّذ أكواداً عشوائية مباشرةً على الخادم — من دون أي بيانات اعتماد أو تفاعل مسبق من المستخدم. حصلت الثغرة على درجة CVSS 10.0 ، وهي الدرجة القصوى التي تشير إلى سهولة الاستغلال وعمق التأثير في آنٍ واحد. وبالرغم من توفّر التصحيح منذ ديسمبر 2025، إلا أن مئات الفرق التقنية لم تُطبّقه حتى اللحظة التي شنّ فيها المهاجمون حملتهم.

تشريح حملة UAT-10608: من الاختراق إلى الحصاد الآلي

رصد باحثو Talos النشاط الأول للحملة في الخامس من ديسمبر 2025، غير أنها تصاعدت بشكل لافت خلال مارس وأبريل 2026. يعمل المهاجمون وفق منهجية آلية متطورة: يبدأون بمسح شامل للإنترنت بحثاً عن نسخ Next.js غير مُصحَّحة، ثم يُطلقون طلبات استغلال فورية لتثبيت إطار جمع البيانات الذي أطلقوا عليه اسم NEXUS Listener. تحت واجهة رسومية مركزية، يستطيع المهاجمون رؤية وتصنيف كل ما يُحصد: مفاتيح AWS ومفاتيح API الخاصة بـ Stripe، ومتغيرات البيئة التي غالباً ما تحتوي على كلمات مرور قواعد البيانات، ومفاتيح SSH الخاصة، وتوكنات GitHub، وسجلات أوامر الشِّل. ما يجعل هذه الحملة خطيرة بشكل استثنائي هو أن البيانات المسروقة لا تقتصر على خرق نظام واحد — بل تمثّل مفاتيح دخول متسلسلة لعشرات الأنظمة الأخرى المرتبطة بنفس المؤسسة.

التأثير المباشر على المؤسسات المالية السعودية

معظم البنوك وشركات الفنتك والمؤسسات المالية الخاضعة لإشراف SAMA تعتمد تطبيقات ويب حديثة، كثير منها مبنية على React وNext.js، سواء في بوابات العملاء أو خدمات الـ API الداخلية أو لوحات تحكم المطوّرين. ثغرة من هذا المستوى تعني أن مهاجماً واحداً يمكنه بطلب HTTP بسيط الحصول على مفاتيح الوصول إلى بيئة السحابة الخاصة بمؤسستك، ومن ثمّ الانتشار أفقياً داخل البنية التحتية. من منظور SAMA CSCC، يُصنَّف هذا السيناريو ضمن المخاطر ذات الأثر الحرج التي تستوجب استجابة فورية. كما أن انكشاف بيانات العملاء الناتج عن مثل هذا الاختراق قد يُفضي إلى انتهاكات مباشرة لنظام حماية البيانات الشخصية PDPL، مع التزامات إشعار الجهات التنظيمية خلال فترة زمنية محددة.

التوصيات والخطوات العملية

1. الترقية الفورية: تحقّق من إصدار Next.js في جميع تطبيقاتك وقارنه بالإصدارات المُصحَّحة المُعلنة في ديسمبر 2025. أي إصدار سابق للتصحيح يجب ترقيته على الفور. استخدم npm outdated أو yarn outdated للكشف عن التبعيات القديمة.
2. مراجعة سجلات الوصول بأثر رجعي: ابحث في سجلات خوادم الويب والـ WAF عن طلبات HTTP غير مألوفة تستهدف مسارات RSC — ولا سيما الطلبات التي تحمل بيانات JSON معقدة أُرسلت إلى نقاط نهاية Server Components. الفترة الزمنية الحرجة تبدأ من الخامس من ديسمبر 2025.
3. دوران فوري لبيانات الاعتماد: إذا كانت تطبيقاتك غير مُصحَّحة خلال الفترة الماضية، افترض الاختراق وابدأ فوراً بإلغاء وإعادة إنشاء جميع مفاتيح AWS وتوكنات GitHub وكلمات مرور قواعد البيانات وأي أسرار في ملفات .env.
4. تطبيق WAF مع قواعد مخصصة: أضف قواعد حظر لطلبات RSC المشبوهة على مستوى جدار حماية التطبيقات، كـ AWS WAF أو Cloudflare WAF، لتوفير طبقة حماية إضافية ريثما يكتمل التصحيح.
5. مراجعة إذونات IAM وأسلوب Least Privilege: تأكد أن مفاتيح AWS المستخدمة في تطبيقات Next.js تملك الحدّ الأدنى من الصلاحيات اللازمة فحسب، وأن أي تسريب لها لن يتيح وصولاً غير محدود لبيئتك السحابية.
6. تفعيل SBOM ومراقبة التبعيات: اعتمد قائمة مواد البرمجيات (Software Bill of Materials) وأدوات مثل Dependabot أو Snyk لضمان تنبيهات فورية عند صدور ثغرات حرجة في مكتبات أطر العمل.

الخلاصة

حملة UAT-10608 نموذج صارخ على ما يحدث حين تظل ثغرة CVSS 10.0 دون تصحيح لأسابيع: مهاجمون منظمون يحوّلون ذلك الإهمال إلى عمليات اختراق آلية واسعة النطاق. المؤسسات المالية في المملكة العربية السعودية ليست بمنأى عن هذه الحملة، لا سيما أن تطبيقات Next.js باتت شائعة في تطوير خدمات الفنتك وبوابات الخدمة الذاتية. الاستجابة لا تحتمل التأخير: الترقية أولاً، ثم التحقيق بأثر رجعي، ثم إعادة بناء بيانات الاعتماد من الصفر.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وللمساعدة في الكشف عن الأنظمة المعرّضة وترتيب أولويات التصحيح.