Η Google Threat Intelligence Group (GTIG) εξέδωσε μια προειδοποίηση σχετικά με την ευρεία εκμετάλλευση ενός κρίσιμου ελαττώματος ασφαλείας στα React Server Components.
Γνωστή ως React2Shell (CVE-2025-55182), αυτή η ευπάθεια επιτρέπει στους εισβολείς να αναλαμβάνουν τον έλεγχο των διακομιστών από απόσταση χωρίς να χρειάζονται κωδικό πρόσβασης.
Από τότε που αποκαλύφθηκε η ευπάθεια στις 3 Δεκεμβρίου 2025, η Google έχει παρατηρήσει πολλές διαφορετικές ομάδες χάκερ που κάνουν κατάχρηση του ελαττώματος.
Οι επιτιθέμενοι ποικίλλουν από ομάδες κατασκοπείας που χρηματοδοτούνται από το κράτος έως εγκληματίες στον κυβερνοχώρο που αναζητούν οικονομικό όφελος.
Ηθοποιοί απειλών και εκστρατείες κακόβουλου λογισμικού
Οι ερευνητές της Google έχουν αναγνωρισθείς πολλές καμπάνιες που στοχεύουν μη επιδιορθωμένα συστήματα. Οι βασικές παρατηρήσεις περιλαμβάνουν:
- Κατασκοπεία China-Nexus: Ομάδες που συνδέονται με την Κίνα χρησιμοποιούν το React2Shell για να αναπτύξουν backdoors και μυστικά εργαλεία. Μια ομάδα, το UNC6600, εγκαθιστά το Tunneler MINOCAT για να διατηρεί κρυφή πρόσβαση στα δίκτυα των θυμάτων. Μια άλλη ομάδα, η UNC6603, χρησιμοποιεί μια ενημερωμένη έκδοση του backdoor HISONIC, η οποία κρύβει την επισκεψιμότητά της επικοινωνώντας μέσω νόμιμων υπηρεσιών όπως το Cloudflare.
- Οικονομικό έγκλημα στον κυβερνοχώρο: Οι καιροσκόποι εισβολείς χρησιμοποιούν το ελάττωμα για να εγκαταστήσουν εξορύκτες κρυπτονομισμάτων. Σε μια περίπτωση, οι εγκληματίες ανέπτυξαν το XMRig για να δημιουργήσουν ψηφιακό νόμισμα χρησιμοποιώντας την ισχύ του διακομιστή του θύματος.
- Πρόσθετες απειλές: Άλλο εντοπισμένο κακόβουλο λογισμικό περιλαμβάνει το πρόγραμμα λήψης SNOWLIGHT και το backdoor COMPOOD, και τα δύο χρησιμοποιούνται για την κλοπή δεδομένων ή τη φόρτωση περαιτέρω κακόβουλου λογισμικού.
Το React2Shell βαθμολογείται με μέγιστη βαθμολογία σοβαρότητας 10,0 (CVSS v3). Επηρεάζει συγκεκριμένες εκδόσεις του React και του Next.js, δημοφιλών πλαισίων που χρησιμοποιούνται για τη δημιουργία σύγχρονων ιστοτόπων. Επειδή αυτά τα εργαλεία χρησιμοποιούνται ευρέως, πολλοί οργανισμοί είναι επί του παρόντος εκτεθειμένοι.
Η Google προειδοποιεί ότι ο νόμιμος κώδικας εκμετάλλευσης είναι πλέον διαθέσιμος δημόσια, διευκολύνοντας τους εισβολείς να χτυπήσουν.
Ενώ ορισμένα πρώιμα εργαλεία εκμετάλλευσης ήταν πλαστά ή σπασμένα, λειτουργικές μέθοδοι, συμπεριλαμβανομένων εργαλείων που μπορούν να εγκαταστήσουν κελύφη ιστού απευθείας στη μνήμη, κυκλοφορούν τώρα.
Οι ειδικοί ασφαλείας προτρέπουν τους διαχειριστές να επιδιορθώσουν αμέσως τα επηρεαζόμενα συστήματα. Οι οργανισμοί που χρησιμοποιούν Next.js ή React Server Components θα πρέπει να επαληθεύσουν ότι εκτελούν ασφαλείς εκδόσεις για να αποτρέψουν τη μη εξουσιοδοτημένη πρόσβαση.
IoC
| Δείκτης | Τύπος | Περιγραφή |
reactcdn.windowserrorapis[.]com | Πεδίο ορισμού | SNOWLIGHT C2 και Staging Server |
82.163.22[.]139 | Διεύθυνση IP | Διακομιστής SNOWLIGHT C2 |
216.158.232[.]43 | Διεύθυνση IP | Διακομιστής σκηνής για σενάριο sex.sh |
45.76.155[.]14 | Διεύθυνση IP | COMPOOD C2 και Payload Staging Server |
df3f20a961d29eed46636783b71589c183675510737c984a11f78932b177b540 | SHA256 | Δείγμα HISONIC |
92064e210b23cf5b94585d3722bf53373d54fb4114dca25c34e010d0c010edf3 | SHA256 | Δείγμα HISONIC |
0bc65a55a84d1b2e2a320d2b011186a14f9074d6d28ff9120cb24fcc03c3f696 | SHA256 | Δείγμα ANGRYREBEL.LINUX |
13675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d527274 | SHA256 | XMRIG Downloader Script (όνομα αρχείου: sex.sh) |
7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a | SHA256 | Δείγμα SNOWLIGHT (όνομα αρχείου: linux_amd64) |
776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273 | SHA256 | Δείγμα MINOCAT |
