Google Threat Intelligence Group (GTIG) vydal varovanie týkajúce sa rozsiahleho zneužívania kritickej bezpečnostnej chyby v komponentoch React Server Components.
Táto zraniteľnosť, známa ako React2Shell (CVE-2025-55182), umožňuje útočníkom prevziať kontrolu nad servermi na diaľku bez potreby hesla.
Od zverejnenia zraniteľnosti 3. decembra 2025 spoločnosť Google spozorovala viaceré odlišné hackerské skupiny, ktoré túto chybu zneužívajú.
Útočníci siahajú od štátom podporovaných špionážnych skupín až po kyberzločincov, ktorí hľadajú finančný zisk.
Threat Actors a malvérové kampane
Výskumníci Google identifikovali niekoľko kampaní zameraných na neopravené systémy. Medzi kľúčové pozorovania patria:
Špionáž China-Nexus: Skupiny spojené s Čínou používajú React2Shell na nasadenie zadných vrátok a tajných nástrojov. Jedna skupina, UNC6600, inštaluje tunelový modul MINOCAT na udržanie skrytého prístupu k sieťam obetí. Ďalšia skupina, UNC6603, používa aktualizovanú verziu backdoor HISONIC, ktorá skrýva svoju návštevnosť komunikáciou prostredníctvom legitímnych služieb, ako je Cloudflare. Finančná počítačová kriminalita: Oportunní útočníci využívajú túto chybu na inštaláciu baníkov kryptomien. V jednom prípade zločinci nasadili XMRig na generovanie digitálnej meny pomocou výkonu servera obete. Ďalšie hrozby: Medzi ďalší identifikovaný malvér patrí downloader SNOWLIGHT a backdoor COMPOOD, ktoré sa používajú na odcudzenie údajov alebo načítanie ďalšieho škodlivého softvéru.
React2Shell je ohodnotený maximálnym skóre závažnosti 10,0 (CVSS v3). Ovplyvňuje špecifické verzie React a Next.js, populárnych rámcov používaných na vytváranie moderných webových stránok. Pretože tieto nástroje sú široko používané, mnohé organizácie sú v súčasnosti vystavené.
Google varuje, že legitímny exploit kód je teraz verejne dostupný, čo útočníkom uľahčuje útok.
Zatiaľ čo niektoré skoré nástroje na využívanie boli falošné alebo nefunkčné, teraz sú v obehu funkčné metódy vrátane nástrojov, ktoré dokážu nainštalovať webové shelly priamo do pamäte.
Bezpečnostní experti vyzývajú správcov, aby okamžite opravili postihnuté systémy. Organizácie používajúce Next.js alebo React Server Components by si mali overiť, že používajú zabezpečené verzie, aby sa zabránilo neoprávnenému prístupu.
IoC
IndicatorTypeDescriptionreactcdn.windowserrorapis(.)comDomainSNOWLIGHT C2 a Staging Server82.163.22(.)139IP adresaSNOWLIGHT C2 Server216.158.232(.)43IP AddressStaging server pre sex.sh script45.76.4IP a C.26.14IP Serverdf3f20a961d29eed46636783b71589c183675510737c984a11f78932b177b540SHA256HISONIC vzorka92064e210b23cf5b94585d3722bf53373d54fb4114dca25c34e010d0c010edf3SHA256HISONIC sample0bc65a55a84d1b2e2a320d2b011186a14f9074d6d28ff9120cb24fcc03c3f696SHA256ANGRYREBEL.LINUX sample13675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d527274SHA256XMRIG Downloader Script (názov súboru: sex.sh)7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737aSHA256SNOWLIGHT sample (názov súboru: linux_amd64)776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273SHA256MINOCAT ukážka
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
