週末にかけて、Googleの脅威インテリジェンスチームは、最大深刻度の「React2Shell」リモートコード実行(RCE)脆弱性を悪用する攻撃に、さらに5つの中国系ハッキンググループが関与していることを関連付けました。
CVE-2025-55182として追跡されているこの積極的に悪用されている欠陥は、ReactのオープンソースJavaScriptライブラリに影響し、未認証の攻撃者が単一のHTTPリクエストでReactおよびNext.jsアプリケーション内で任意のコードを実行できるようにします。
複数のReactパッケージ(例:react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack)がデフォルト設定のままでは脆弱である一方、この脆弱性の影響を受けるのは、過去1年にリリースされたReact 19.0、19.1.0、19.1.1、19.2.0の各バージョンに限られます。
攻撃が始まった後、Palo Alto Networksは報告し、中国の国家支援型脅威アクターに関連する事案を含め、数十の組織が侵害されたとしています。攻撃者はこの欠陥を悪用してコマンドを実行し、AWSの設定ファイル、認証情報、その他の機密情報を窃取しています。
Amazon Web Services(AWS)のセキュリティチームも警告し、中国に関連するEarth LamiaおよびJackpot Pandaの脅威アクターが、脆弱性の公開から数時間以内にReact2Shellの悪用を開始したと述べました。
さらに5つの中国系ハッキンググループが攻撃に関与
土曜日、Google Threat Intelligence Group(GTIG)は、欠陥が12月3日に公開された後に始まった継続中のReact2Shell攻撃に、少なくともさらに5つの中国のサイバー諜報グループが加わっていることを検知したと報告しました。
この欠陥を悪用している国家関連の脅威グループの一覧には、UNC6600(MINOCATトンネリングソフトウェアを展開)、UNC6586(SNOWLIGHTダウンローダー)、UNC6588(COMPOODバックドアのペイロード)、UNC6603(HISONICバックドアの更新版)、UNC6595(ANGRYREBEL.LINUXリモートアクセス型トロイの木馬)も新たに含まれます。
「Next.jsのような人気フレームワークでReact Server Components(RSC)が使用されているため、この問題に対して脆弱な露出システムが相当数存在します」と、GTIGの研究者は述べています。
「GTIGはまた、地下フォーラムにおけるCVE-2025-55182に関する多数の議論も観測しており、そこには脅威アクターがスキャンツールへのリンク、概念実証(PoC)コード、そしてこれらのツールを使用した経験を共有しているスレッドも含まれます。」
これらの攻撃を調査する中で、GTIGはこの欠陥を標的とするイランの脅威アクターや、未パッチのシステムにXMRig暗号通貨マイニングソフトウェアを展開する金銭目的の攻撃者も確認しました。
インターネット監視団体Shadowserverは現在、React2Shell攻撃に脆弱なIPアドレスを11万6,000以上追跡しており、そのうち8万以上が米国にあります。現在追跡中です。
GreyNoiseもまた、過去24時間にReact2Shellのリモートコード実行の欠陥を悪用しようとした670以上のIPアドレスを観測しており、主に米国、インド、フランス、ドイツ、オランダ、シンガポール、ロシア、オーストラリア、英国、中国に由来しています。
12月5日、Cloudflareは世界的なウェブサイト障害を、React2Shell脆弱性に対する緊急の緩和策に関連付けました。
