サイバーセキュリティ企業は、React2Shellと名付けられた重大なReactの脆弱性を悪用する攻撃において、さまざまな種類のマルウェアが配布されていることを確認している。
最近、研究者により、アプリケーションのユーザーインターフェースを作成するための人気のオープンソースライブラリであるReactに、特別に細工されたHTTPリクエストを介して、認証なしでリモートコード実行が可能となる重大な脆弱性が存在することが発見された。
React2Shellとして知られるこの脆弱性は、正式にはCVE-2025-55182として追跡されており、React Server Components(RSC)を使用するReactバージョン19を利用しているシステムに影響を与える。Reactに加えて、CVE-2025-55182はNext.js、Waku、React Router、RedwoodSDKなどの他のフレームワークにも影響する。
Reactは数百万のウェブサイトを支えており、AirbnbやNetflixといった人気のオンラインサービスでも利用されている。
Shadowserver Foundationは当初、脆弱なインスタンスに関連するIPアドレスは約77,000件しか確認していないと述べていたが、その後、「脆弱なコード」を持つIPアドレスが165,000件以上、ドメインが644,000件以上に上ると報告した。
React2Shellの実際の悪用状況
AWSは、中国の脅威アクターがこの脆弱性を最初に悪用したと報告しており、攻撃は公開直後から始まったという。その後、悪用は急増し、数十の組織が影響を受けたと報じられている。
現在、複数の大手サイバーセキュリティ企業が攻撃試行を観測しており、攻撃者によって配布されているさまざまなタイプのペイロードの詳細を明らかにしている。
多くのセキュリティ企業は、React2Shellの悪用後に暗号資産マイナーを配布しようとする試みを確認している。また、クラウド認証情報の窃取も広く観測されている。
Palo Alto Networksは、Sysdigの報告を確認しており、北朝鮮と関連付けられた脅威アクターがCVE-2025-55182を悪用し、永続的なアクセス用インプラントであるEtherRATを配布していることを明らかにした。
さらに、Palo Altoは、以前にRed MenshenおよびEarth Bluecrowと名付けられた中国の国家支援型脅威アクターに帰属されたLinuxバックドアBPFDoorを展開しようとする攻撃者も確認している。
同社はまた、一般的なマルウェア、Cobalt Strike、ドロッパースクリプト、インタラクティブなウェブシェル、NoodleRAT、Auto-colorバックドア、さらにSnowLightおよびVShellトロイの木馬の配布も観測している。これらのトロイの木馬は、中国と関連付けられた初期アクセスブローカーのキャンペーンで確認された。
Huntressもまた、顧客のシステムに対して幅広いマルウェアを配布しようとする試みを確認している。
同社は、PeerBlightという名称のLinuxバックドア、CowTunnelと呼ばれるリバースプロキシトンネル、ZinFoqと名付けられた事後侵害用インプラントを観測している。Huntressはまた、Kaijiボットネットを動かすマルウェアが、このキャンペーンを通じて配布されていることも確認している。
Wizはクラウド攻撃を監視している。
「ほとんどの攻撃は、インターネットに公開されたNext.jsアプリケーションや、Kubernetesおよびマネージドクラウドサービス上で稼働するその他のコンテナ化されたワークロードを標的にしている」と、このクラウドセキュリティ大手は述べている。
同社が観測した攻撃では、脅威アクターはReact2Shellを利用して、クラウドおよび開発者向けサービスに関連する認証情報を窃取し、コンテナ内に暗号資産マイナーを展開し、バックドアやSliverインプラントを配布していた。
CISAは、CVE-2025-55182を既知の悪用脆弱性(KEV)カタログに追加し、当初は連邦機関に対し12月26日までに対処するよう指示していた。しかし、悪用の急増を受けて、同庁は期限を12月12日に前倒しした。
翻訳元: https://www.securityweek.com/wide-range-of-malware-delivered-in-react2shell-attacks/
