最近明らかになったReactの脆弱性「React2Shell」を悪用する一部の攻撃は、北朝鮮の脅威アクターによって実行された可能性があると、サイバーセキュリティ企業Sysdigは述べている。
React2Shellとして知られるこの脆弱性は、正式にはCVE-2025-55182として追跡されており、認証不要のリモートコード実行に悪用される可能性がある。この欠陥は、アプリケーションのユーザーインターフェースを作成するためのオープンソースライブラリであるReactのバージョン19に影響を与える。
Reactに加えて、CVE-2025-55182はNext.js、Waku、React Router、RedwoodSDKなどの関連フレームワークにも影響を及ぼす。
Reactは数百万のアプリケーションを支えているものの、実際に脆弱なインスタンスの数は比較的少ないようであり、Shadowserver Foundationはおよそ7万台の影響を受けたシステムを確認している。
React2Shellの存在は12月3日に明るみに出ており、その直後から実際の環境での悪用が始まった。
[ 読む: React2Shell緩和策が原因のCloudflare障害 ]
現在入手可能な情報に基づくと、中国と関連付けられた脅威グループが最初にこの脆弱性を悪用したとみられている。その後、悪用は急速に拡大し、サイバーセキュリティコミュニティは、AWS認証情報の窃取、マルウェア(ボットネット)の展開、暗号通貨マイナーを含む攻撃を確認している。
Sysdigは、EtherRATの展開を伴う高度な攻撃を観測しており、同社はこれを「少なくとも3つの文書化されたキャンペーンからの手法を1つの、これまで報告されていなかった攻撃チェーンに統合した、永続的アクセス用インプラント」と説明している。
「EtherRATは、コマンド&コントロール(C2)の解決にEthereumスマートコントラクトを活用し、5つの独立したLinux永続化メカニズムを展開し、nodejs.orgから独自のNode.jsランタイムをダウンロードします」と同社は説明した。「この機能の組み合わせは、React2Shellの悪用においてこれまで観測されたことがありません。」
Sysdigの分析では、北朝鮮と関連付けられたキャンペーン「Contagious Interview」との共通点が明らかになった。このキャンペーンでは、脅威アクターが偽の求人面接を通じて、暗号通貨やブロックチェーン技術に関わる人物にマルウェアを配布する。キャンペーンの最終的な目的は、被害者から暗号通貨を盗むことだ。
EtherRAT攻撃では、React2Shellが悪用され、シェルスクリプトをダウンロードして実行するシェルコマンドが実行される。このシェルスクリプトは、JavaScriptインプラントを展開するよう設計されている。このインプラントはドロッパーとして機能し、メインペイロードであるEtherRATを復号する。
「EtherRATで使用されている暗号化ローダーパターンは、Contagious Interviewキャンペーンで使用された、DPRK(北朝鮮)関連のBeaverTailマルウェアと非常によく一致しています」とSysdigは述べた。
同社はさらに、「特筆すべき点として、Lazarus Groupや他のDPRK関連の脅威アクターは、歴史的にNode.jsをペイロードに同梱してきましたが、今回確認されたサンプルは公式のnodejs.orgディストリビューションからNode.jsをダウンロードしています。これは、トレードクラフトにおける重要な進化を示しており、ペイロードサイズの縮小と引き換えに検知リスクを低減していると言えます」と付け加えた。
明らかになった証拠は、React2Shellが初期配信ベクター(偽の求人面接の代替)としてLazarusまたは別の北朝鮮の脅威アクターによって悪用されていることを示唆しているように見える一方で、同社は「別の高度なアクターが、アトリビューションを複雑にするために複数の文書化されたキャンペーンから手法を組み合わせている可能性もある」と認めている。
翻訳元: https://www.securityweek.com/react2shell-attacks-linked-to-north-korean-hackers/
