CVE-2025-55182(別名「React2Shell」)の脆弱性スキャナーを装ったGitHubリポジトリが、マルウェアを拡散していたことから悪意あるものとして発覚しました。React2shell-scannerという名称のこのプロジェクトは、ユーザーniha0waの下でホストされていましたが、コミュニティからの報告を受けてプラットフォームから削除されました。
サイバーセキュリティ研究者のSaurabh氏は、コード内の不審な挙動を特定した後、先週LinkedInで現在は削除されたツールについて警告しました。投稿によると、このスクリプトにはmshta.exeを実行し、py-installer.ccからリモートファイルを取得するよう設計された隠しペイロードが含まれており、これは第2段階のマルウェアを投下するために使われる既知の手口です。
スクリプトを確認すると、この警告が裏付けられます。マルウェアはreact2shellpy.pyに埋め込まれており、base64でエンコードされた文字列群の一部がデコードされてPowerShellコマンドになっていました。
このマルウェアはWindows端末を標的にし、悪意あるカスタムスクリプトをGitHub上でホストしてそれを指す形で、mshta.exe(正規のWindowsツールだが悪意あるスクリプト実行に悪用されがち)を利用していました。スクリプトはユーザーに促すことなく、疑念を抱かせないまま実行されるように見えました。
このスキャナーはCVE-2025-55182を調査するセキュリティ専門家を狙い、有害なものではなく有用なものとして提示されていました。正規のセキュリティユーティリティを装うことで、通常の調査活動を侵害の入口へと変え、サイバーセキュリティ研究者を危険にさらしました。
注目すべき点として、これはGitHub上のユーティリティツールに新たなPyStoreRATマルウェアを隠していたという報告が出たわずか数日後の出来事であり、OSINTおよびサイバーセキュリティ研究者を特に標的にしていました。
GitHubは迅速に対応してリポジトリを削除しましたが、この事件は、サイバーセキュリティツールの名の下に共有されるコードは慎重にレビューする必要があることを示しています。要するに、見慣れたプラットフォームにホストされているというだけで、どんなツールも盲目的に信頼すべきではありません。
Saurabh氏の警告全文はこちらで確認できます。同氏は、特に脆弱性検出の支援をうたうものを含め、第三者製ツールを実行する前にソースコードを徹底的に確認するようセキュリティ専門家に呼びかけました。
悪意あるスクリプトは削除されたものの、キャッシュされたコピーやフォークが依然として流通している可能性があります。CVE-2025-55182や同様に注目度の高い脆弱性を分析する研究者は、偽のエクスプロイトツール、特に難読化されたコード、ネットワークへのコールバック、または作者が不明確なものに注意を払うべきです。
翻訳元: https://hackread.com/github-scanner-react2shell-cve-2025-55182-malware/
