- React2Shell(CVE-2025-55182)の重大な脆弱性が中国および北朝鮮のグループに悪用される
- 北朝鮮が Ethereum C2、Linux 永続化、Node.js ランタイムを備えた EtherRAT インプラントを展開
- 研究者らは、修正済み React バージョン 19.0.1、19.1.2、19.2.1 への早急なアップデートを強く要請
React Server Components(RSC)で最近発見された、最高深刻度の脆弱性 React2Shell を悪用しているのは中国だけではない。
北朝鮮政府が支援する脅威アクターも同様の活動を行っているとの報告が寄せられている。唯一の違いは、北朝鮮側がこの欠陥を利用して、新たな永続化メカニズムを備えた マルウェア を展開している点だ。
先週末、React チームは、複数のパックの複数バージョンに存在し、RSC に影響を与える、認証前に悪用可能なバグについてのセキュリティアドバイザリを公開した。影響を受けるバージョンには 19.0、19.1.0、19.1.1、19.2.0、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack が含まれる。このバグは現在「React2Shell」と名付けられ、CVE-2025-55182 として追跡されており、深刻度スコアは 10/10(クリティカル)と評価されている。
より高度な攻撃
React は最も人気のある JavaScript ライブラリの一つであり、現在のインターネットの多くを支えていることから、研究者らは悪用が差し迫っていると警告し、全員に対して遅滞なく修正を適用し、システムを 19.0.1、19.1.2、19.2.1 へアップデートするよう強く促した。
そのわずか数日後、研究者らは 中国と関係するグループ、Earth Lamia と Jackpot Panda が、このバグを利用してさまざまな業種の組織を標的にしているのを確認したと報告し、Sysdig も同様の結果を示した。
このセキュリティ企業は、侵害された Next.js アプリケーションから、EtherRAT と名付けられた新たなインプラントを発見した。Earth Lamia や Jackpot Panda が行っていたものと比べると、EtherRAT は「はるかに高度」であり、少なくとも 3 つの文書化されたキャンペーンからの手法を組み合わせた、永続的なアクセス用インプラントを表している。
「EtherRAT は、コマンド&コントロール(C2)の解決に Ethereum スマートコントラクトを活用し、5 つの独立した Linux 永続化メカニズムを展開し、nodejs.org から独自の Node.js ランタイムをダウンロードします」と研究者らは説明している。「このような機能の組み合わせは、React2Shell の悪用においてこれまで観測されていませんでした。」
伝えられるところによると、ここには「Contagious Interview」と呼ばれる悪名高い北朝鮮のハッキングキャンペーンを想起させる点がかなり多く見られるという。このキャンペーンでは、高い価値を持つ標的を偽の採用面接に招待し、その過程でさまざまな情報窃取ツールが展開される。
