Специалисты компании Huntress выявили масштабную киберкампанию под названием React2Shell, направленную на эксплуатацию критической уязвимости CVE-2025-55182 в React Server Components (RSC). Данная брешь в безопасности позволяет злоумышленникам выполнять произвольный код удаленно (RCE) без аутентификации. Под угрозой находятся компоненты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Основной целью атакующих является доставка криптомайнеров и недокументированного вредоносного ПО на хосты Linux, однако зафиксированы атаки и на конечные точки Windows, что свидетельствует об использовании автоматизированных инструментов эксплуатации.
Масштаб угрозы подтверждается статистикой Shadowserver Foundation по состоянию на 8 декабря 2025 года. Исследователи обнаружили более 165 000 уникальных IP-адресов и свыше 644 000 доменов, подверженных риску. Наибольшая концентрация уязвимых систем наблюдается в США, где насчитывается более 99 200 инстансов. Атаки затрагивают широкий спектр секторов экономики, но особенно заметна активность в сферах строительства и развлечений. Первые признаки эксплуатации уязвимого экземпляра Next.js на Windows были зафиксированы 4 декабря 2025 года.
Злоумышленники используют сложный арсенал вредоносных программ, центральное место в котором занимает бэкдор для Linux под названием PeerBlight. Этот зловред имеет пересечения в коде с семействами вредоносного ПО RotaJakiro и Pink, известными с 2021 года. Для обеспечения персистентности PeerBlight устанавливает службу systemd и маскируется под процесс демона «ksoftirqd». Его функционал включает загрузку, скачивание и удаление файлов, создание обратной оболочки (reverse shell), изменение прав доступа, запуск произвольных бинарных файлов и самообновление.
Сетевая инфраструктура PeerBlight опирается на жестко закодированный управляющий сервер (C2) по адресу 185.247.224[.]41:8443, а также использует алгоритм генерации доменов (DGA) и распределенную хеш-таблицу (DHT) протокола BitTorrent в качестве резервных каналов. В сети DHT ботнет использует идентификатор, начинающийся с девятибайтового префикса «LOLlolLOL», за которым следуют 11 случайных байтов. Узлы сканируют сеть в поисках пиров с аналогичным префиксом для обмена конфигурацией C2. Для снижения шума и скрытности конфигурация передается только в одной трети случаев, при условии наличия валидной версии клиента и правильного идентификатора транзакции. Huntress идентифицировала более 60 уникальных узлов с таким префиксом.
Помимо PeerBlight, атакующие развертывают имплант ZinFoq, написанный на Go и представляющий собой бинарный файл Linux ELF. Этот инструмент пост-эксплуатации обеспечивает интерактивную оболочку и обратный псевдотерминал (PTY), позволяет выполнять файловые операции, эксфильтрацию данных и туннелирование сети через SOCKS5 или переадресацию портов TCP. Для сокрытия активности ZinFoq очищает историю bash, использует технику timestomping (подмена времени модификации файлов) и маскируется под одну из 44 легитимных системных служб Linux, таких как /sbin/audispd, /usr/sbin/ModemManager, /usr/libexec/colord или /usr/sbin/cron -f.
Для обхода межсетевых экранов, настроенных на мониторинг только входящих соединений, используется обратный прокси CowTunnel. Он инициирует исходящее соединение к подконтрольным злоумышленникам серверам Fast Reverse Proxy (FRP). В качестве полезной нагрузки для монетизации атак применяется криптомайнер XMRig версии 6.24.0, который загружается непосредственно с GitHub. Весь процесс атаки начинается с разведки через общедоступные инструменты GitHub для поиска уязвимых экземпляров Next.js, за чем следуют пробные запросы и эксплуатация уязвимости.
Доставка вредоносного ПО осуществляется через набор скриптов. Среди них выделяются скрипт , являющийся дроппером для фреймворка Sliver C2, и его вариант , оснащенный механизмом самообновления. Также обнаружен скрипт — вариант вредоносного ПО Kaiji DDoS, дополненный функциями удаленного администрирования и уклонения от обнаружения. Безымянный bash-скрипт используется специально для загрузки майнера XMRig.
Поскольку атрибуция угрозы остается неизвестной, а автоматизированные инструменты пытаются развернуть полезные нагрузки Linux даже на системах Windows, риск остается крайне высоким. Организациям, использующим библиотеки react-server-dom-webpack, react-server-dom-parcel или react-server-dom-turbopack, необходимо незамедлительно установить обновления из-за легкости эксплуатации уязвимости CVE-2025-55182.
Изображение носит иллюстративный характер
Масштаб угрозы подтверждается статистикой Shadowserver Foundation по состоянию на 8 декабря 2025 года. Исследователи обнаружили более 165 000 уникальных IP-адресов и свыше 644 000 доменов, подверженных риску. Наибольшая концентрация уязвимых систем наблюдается в США, где насчитывается более 99 200 инстансов. Атаки затрагивают широкий спектр секторов экономики, но особенно заметна активность в сферах строительства и развлечений. Первые признаки эксплуатации уязвимого экземпляра Next.js на Windows были зафиксированы 4 декабря 2025 года.
Злоумышленники используют сложный арсенал вредоносных программ, центральное место в котором занимает бэкдор для Linux под названием PeerBlight. Этот зловред имеет пересечения в коде с семействами вредоносного ПО RotaJakiro и Pink, известными с 2021 года. Для обеспечения персистентности PeerBlight устанавливает службу systemd и маскируется под процесс демона «ksoftirqd». Его функционал включает загрузку, скачивание и удаление файлов, создание обратной оболочки (reverse shell), изменение прав доступа, запуск произвольных бинарных файлов и самообновление.
Сетевая инфраструктура PeerBlight опирается на жестко закодированный управляющий сервер (C2) по адресу 185.247.224[.]41:8443, а также использует алгоритм генерации доменов (DGA) и распределенную хеш-таблицу (DHT) протокола BitTorrent в качестве резервных каналов. В сети DHT ботнет использует идентификатор, начинающийся с девятибайтового префикса «LOLlolLOL», за которым следуют 11 случайных байтов. Узлы сканируют сеть в поисках пиров с аналогичным префиксом для обмена конфигурацией C2. Для снижения шума и скрытности конфигурация передается только в одной трети случаев, при условии наличия валидной версии клиента и правильного идентификатора транзакции. Huntress идентифицировала более 60 уникальных узлов с таким префиксом.
Помимо PeerBlight, атакующие развертывают имплант ZinFoq, написанный на Go и представляющий собой бинарный файл Linux ELF. Этот инструмент пост-эксплуатации обеспечивает интерактивную оболочку и обратный псевдотерминал (PTY), позволяет выполнять файловые операции, эксфильтрацию данных и туннелирование сети через SOCKS5 или переадресацию портов TCP. Для сокрытия активности ZinFoq очищает историю bash, использует технику timestomping (подмена времени модификации файлов) и маскируется под одну из 44 легитимных системных служб Linux, таких как /sbin/audispd, /usr/sbin/ModemManager, /usr/libexec/colord или /usr/sbin/cron -f.
Для обхода межсетевых экранов, настроенных на мониторинг только входящих соединений, используется обратный прокси CowTunnel. Он инициирует исходящее соединение к подконтрольным злоумышленникам серверам Fast Reverse Proxy (FRP). В качестве полезной нагрузки для монетизации атак применяется криптомайнер XMRig версии 6.24.0, который загружается непосредственно с GitHub. Весь процесс атаки начинается с разведки через общедоступные инструменты GitHub для поиска уязвимых экземпляров Next.js, за чем следуют пробные запросы и эксплуатация уязвимости.
Доставка вредоносного ПО осуществляется через набор скриптов. Среди них выделяются скрипт , являющийся дроппером для фреймворка Sliver C2, и его вариант , оснащенный механизмом самообновления. Также обнаружен скрипт — вариант вредоносного ПО Kaiji DDoS, дополненный функциями удаленного администрирования и уклонения от обнаружения. Безымянный bash-скрипт используется специально для загрузки майнера XMRig.
Поскольку атрибуция угрозы остается неизвестной, а автоматизированные инструменты пытаются развернуть полезные нагрузки Linux даже на системах Windows, риск остается крайне высоким. Организациям, использующим библиотеки react-server-dom-webpack, react-server-dom-parcel или react-server-dom-turbopack, необходимо незамедлительно установить обновления из-за легкости эксплуатации уязвимости CVE-2025-55182.
