北朝鮮関与が疑われる攻撃者が、偽のIT採用スキームでユーザーを標的にしている。
セキュリティチームは火曜日、React Server Componentsにおける重大な脆弱性に関連した潜在的な侵害の件数が増加しており、対応にあたっていると述べた。
この危機の規模は当初の想定よりも広がっており、Shadowserverは16万5,000件超のIPと64万4,000件のドメインで、スキャン対象の改善後に脆弱なコードが存在する可能性があると報告している。
ポストエクスプロイトの脅威活動は、これまでに50以上の組織で観測されていると、Palo Alto NetworksはCybersecurity Diveに語った。
影響を受けている組織は、メディア、金融サービス、ビジネスサービス、テクノロジー、連邦・州・地方政府、通信など、幅広い分野にわたる。
この脆弱性はCVE-2025-55182として追跡されており、安全でないペイロードのデシリアライゼーションにより、認証されていない攻撃者がリモートコード実行を行える。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性に関連する勧告を更新し、緩和策を適用した後、インターネットに公開されているすべてのReactインスタンスで侵害活動の兆候がないか確認するようセキュリティチームに求めた。
先に報じられたように、この脆弱性は中国と関係する国家支援型アクターに狙われており、AWSの研究者によると、Earth LamiaおよびJackpot Pandaとして追跡されている。
Palo Alto Networksはまた、火曜日に脅威活動の拡大を報告しており、北朝鮮と関係している可能性のある偽のITリクルーターが新たに加わった。研究者によると、Contagious Interviewとして追跡されているこのキャンペーンでは、偽のITリクルーターが求職者のコンピュータにマルウェアをインストールしているという。
北朝鮮と関係する敵対者は、EtherHidingと呼ばれる手法を用いてマルウェアを配布し、暗号資産を盗み出しているが、これはパブリックブロックチェーンを悪用する手口だとPalo Alto Networksは説明している。
研究者らはまた、Red Menshenとして知られる中国と関係するアクターに関連付けられているLinuxバックドア「BPFDoor」の使用も検知した。
GreyNoiseの研究者らは月曜日、この脆弱性を標的とする362のユニークなIPアドレスを報告した。ハッカーたちは、リモートスクリプト実行、リバースシェル/ダウンローダースクリプト、SSH永続化、ディレクトリ偵察など、さまざまな攻撃手法を実演していた。
