Cercetători în securitate cibernetică au descoperit o campanie în care actori de amenințare compromit servere web NGINX pentru a intercepta și redirecționa traficul utilizatorilor prin infrastructură controlată de atacatori, permițând colectarea de credențiale și manipularea sesiunilor fără ca victimele să observe ceva neobișnuit.
Datadog Security Labs a dezvăluit campania pe 3 februarie 2026, asociind atacatorii cu exploatarea anterioară a vulnerabilității React2Shell (CVE-2025-55182), o vulnerabilitate critică în React Server Components dezvăluită la sfârșitul anului 2025. În loc să instaleze malware tradițional, atacatorii injectează directive malițioase în fișierele de configurare NGINX, transformând serverele compromise în proxy-uri ascunse care redirecționează traficul menținând în același timp funcționalitatea normală a site-urilor web.
Atac vizează infrastructura din Asia
Campania vizează în principal instalări NGINX gestionate prin panouri de hosting Baota (BT), un instrument popular de administrare a serverelor în Asia. Atacatorii se concentrează pe domenii care utilizează domenii de nivel superior asiatice, inclusiv .in, .id, .pe, .bd și .th, precum și pe site-uri guvernamentale și educaționale care utilizează extensiile .edu și .gov.
Prin injectarea de blocuri „location” malițioase în fișierele de configurare NGINX și manipularea directivei „proxy_pass”, atacatorii pot intercepta cererile primite pe căi URL specifice și le pot redirecționa către domenii aflate sub controlul lor. Antetele de cerere, inclusiv „Host”, „X-Real-IP”, „User-Agent” și „Referer” sunt păstrate pentru a menține aparența traficului legitim.
„Configurația malițioasă interceptează traficul web legitim dintre utilizatori și site-uri web și îl redirecționează prin servere backend controlate de atacatori”, a declarat Ryan Simon, cercetător în securitate la Datadog.
Toolkit automat multi-etapă
Atacatorii folosesc un toolkit automat în cinci etape pentru a-și executa campania. Scriptul inițial, zx.sh, acționează ca un orchestrator și include mecanisme de rezervă care utilizează conexiuni TCP brute atunci când utilitare standard precum curl sau wget nu sunt disponibile.
Etapele ulterioare vizează diferite configurații de deployment NGINX. Scriptul bt.sh caută în mod specific fișiere de configurare ale panoului Baota în directorul /www/server/panel/vhost/nginx, în timp ce 4zdh.sh scanează directoare mai extinse, inclusiv sites-enabled, conf.d și sites-available. Scripturile validează modificările de configurare folosind testarea nginx -t înainte de reîncărcare pentru a evita întreruperi ale serviciului care ar putea alerta administratorii.
Etapa finală, ok.sh, generează o hartă a tuturor domeniilor deturnate și exfiltrează datele către un server de comandă și control la adresa IP 158.94.210.227.
Provocări în detectare
Tehnica ridică provocări unice în ceea ce privește detectarea, deoarece atacatorii modifică fișiere de configurare existente, în loc să introducă noi executabile. „Asta înseamnă că apărările concentrate doar pe detectarea malware-ului sau pe semnăturile de rețea s-ar putea să nu vadă niciodată atacul”, a spus Simon.
Datadog recomandă organizațiilor care rulează NGINX să revizuiască fișierele de configurare pentru reguli proxy neautorizate, logică de rescriere neașteptată și destinații backend suspecte. Indicatorii de compromitere includ domenii backend malițioase precum xzz.pier46.com, ide.hashbank8.com și th.cogicpt.org încorporate în configurațiile proxy.
Surse:
https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html