React Server Componentsにおける重大な脆弱性が公開されるや否や、脅威アクターは複数業種の組織を標的とした攻撃でこの脆弱性の悪用を開始しました。Huntressチームは、この欠陥が認証不要のリモートコード実行(RCE)脆弱性であり、攻撃者が特別に細工した単一のHTTPリクエストを介して任意コードを実行できると報告しています。
この脆弱性にはCVE-2025-55182が割り当てられており、通称「React2Shell」として知られています。2025年12月3日に公開され、CVSSスコアは最大値である10.0と評価され、Reactメンテナが即時のパッチ適用を強く呼びかけました。Huntressは、複数の顧客環境において、早くも12月8日の時点で積極的な悪用試行を観測しています。これと並行して、Next.jsエコシステムでは一時的にCVE-2025-66478への言及がありましたが、後にCVE-2025-55182の重複と判断されました。
Huntressによると、初期アクセスを獲得した攻撃者は、さまざまなペイロードを展開します。これには暗号通貨マイナー、「PeerBlight」と名付けられたLinuxバックドア、永続化の確立やラテラルムーブメントを容易にするための追加ツールなどが含まれます。PeerBlightは、BitTorrent DHTをフォールバックのC2(コマンド&コントロール)チャネルとして利用する点が特に注目されており、ドメインベースのブロッキングを著しく困難にします。
キャンペーンのもう一つの要素がCowTunnelであり、攻撃者が管理するFRPサーバーへのアウトバウンド接続を開始するリバースプロキシトンネルとして機能し、事実上、境界防御を迂回します。特定のケースでは、研究者はGoで記述された「ZinFoq」と呼ばれる事後侵害用インプラントも確認しており、リバースシェル機能、SOCKS5プロキシ、フォレンジック痕跡を隠蔽するためのファイルタイムスタンプ改ざん機能を提供します。さらに、Kaijiボットネットの亜種も配布されており、DDoS機能と永続化メカニズムを組み合わせ、終了を試みた際にシステムを強制再起動させる手法を用いています。
少なくとも1件のインシデントから取得されたログには、自動化の兆候が見られ、同一のコマンド実行チェックや、Windowsホスト上でLinuxペイロードを展開しようとする試みが確認されました。悪用に先立ち、Huntressは、Assetnoteが公開しているreact2shell-scannerを用いて、脆弱なNext.jsインスタンスを特定していたと報告しています。
リスク軽減のため、Huntressは影響を受けるパッケージであるreact-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackを、それぞれパッチ済みリリース(19.0.1、19.1.2、19.2.1)へ速やかにアップグレードすることを強く推奨しています。Next.jsデプロイメント向けには、バージョンの検証と安全な構成の復元を支援する専用ユーティリティfix-react2shell-nextが利用可能です。
