Майнинг на тостере и 150000 атак — вот как умный дом тайком расходует ваше электричество

Новая уязвимость в Node.js, получившая идентификатор CVE-2025-55182 и неофициальное название React2Shell, за считанные дни стала популярным инструментом для ботнетов: операторы массово атакуют уязвимые веб-приложения и IoT-устройства, загружают вредоносные бинарники в стиле Mirai и криптомайнеры, а число заблокированных попыток эксплуатации достигает более 150 тысяч в сутки.

React2Shell затрагивает приложения на Node.js, которые позволяют пользовательскому JSON влиять на внутренние структуры JavaScript-объектов. При недостаточной проверке данных это выливается в удалённое выполнение команд: атакующие получают доступ к process.mainModule.require, а затем — к child_process.execSync и системе в целом. Исследователи отмечают, что эксплойт получается компактным, не требует сложных приёмов и подходит для широкого класса Node.js-приложений, что делает его идеальным кандидатом для массовой автоматизации атак.

По данным телеметрии за последние 30 дней, волна эксплуатации React2Shell выглядит как типичная кампания ботнета. Ежедневно фиксируется свыше 150 000 заблокированных запросов, подпадающих под сигнатуры этой уязвимости. В большинстве срабатываний наблюдаются прямые команды на выполнение через BusyBox, попытки скачать файлы с помощью wget или curl, изменить права доступа через chmod, а также различные приёмы сокрытия — например, вставки с base64-декодированием, призванные обойти простую фильтрацию. Часть запросов ограничивается разведкой и проверкой уязвимости, но значительная доля — это уже готовые полезные нагрузки для загрузки и запуска вредоносного кода.

Заметная часть трафика идёт из дата-центра в Польше: один отдельный IP-адрес породил более 12 000 событий, связанных с React2Shell, параллельно занимаясь сканированием портов и попытками эксплуатации известных уязвимостей в устройствах Hikvision. Такой профиль активности хорошо ложится на поведение ботнетов семейства Mirai и их потомков, где захваченная инфраструктура одновременно используется и для сканирования, и для мультивекторных атак. Дополнительные запросы приходят из США, Нидерландов, Ирландии, Франции, Гонконга, Сингапура, Китая, Панамы и других регионов, что указывает на глобальную и во многом оппортунистическую кампанию: атакующие стреляют по всему интернету в надежде найти уязвимые цели.

По целям атаки картина тоже типичная для IoT-ботнетов. Попытки эксплуатации регистрируются на умные розетки, смартфоны, NAS-хранилища, системы видеонаблюдения, маршрутизаторы, различные платы для разработчиков, множество моделей смарт-телевизоров и другой потребительской электроники. Большое число «неопознанных» отпечатков устройств говорит о том, что многие атаки направлены на любые веб-интерфейсы на базе Linux, которые не раскрывают подробностей о производителе и модели. Фактически атакующим достаточно увидеть открытый HTTP-порт — остальное делает скрипт.

Анализ полезной нагрузки показывает два основных семейства вредоносного кода, распространяемого через React2Shell в последние дни. Первая линия — загрузчики Mirai и их вариаций. В этих случаях злоумышленники активно используют команды BusyBox, чтобы стянуть бинарники с инфраструктуры по IP-адресу 193.34.213[.]150, нередко под именами x86 и bolts. Типичная цепочка выглядит так: загрузка файла, смена прав (например, через chmod 777), запуск, а затем повторный запрос за дополнительными компонентами. Вторая линия — развертывание майнера Rondo: в рамках этой кампании уязвимость используется для загрузки скрипта rondo.aqu.sh с сервера 41.231.37[.]153, который устанавливает модуль для дальнейшего распространения и криптомайнер.

Обе категории атак хорошо вписываются в классическую экономику ботнетов: скомпрометированные устройства используют для DDoS-атак, дальнейшего распространения по сети и нелегального майнинга криптовалют. При этом сама React2Shell даёт очень прямой путь от HTTP-запроса к выполнению системной команды, что и обусловило её стремительное распространение в среде операторов ботнетов.

Важно понимать, что наблюдаемые попытки эксплуатации полностью автоматизированы и носят безадресный характер. Скриптам безразлично, кто вы и что делает ваш сервер: любой публично доступный сервис на базе уязвимого Node.js-приложения автоматически становится целью. Организациям, которые разрабатывают или развертывают такие приложения, рекомендуют оперативно устанавливать патчи и внимательно проверить логику обработки JSON: защита от загрязнения прототипов (prototype pollution) и манипуляций со структурами объектов критична.

В случае IoT и потребительских устройств ключевыми остаются базовые гигиенические меры: жёсткое разделение сетей, минимизация внешней доступности, отключение ненужного удалённого доступа и своевременное обновление прошивок. Как только устройство оказывается заражено, оно зачастую превращается в очередной узел ботнета и начинает участвовать в дальнейших сканированиях и атаках, поддерживая замкнутый цикл эксплуатации.

Специалисты продолжают следить за активностью вокруг CVE-2025-55182 и React2Shell и обещают обновлять перечень вредоносных нагрузок, инфраструктуры и задействованных групп по мере появления новых данных. В приложении к отчёту перечислены ключевые индикаторы компрометации — в том числе IP-адреса и URL-адреса хостов, с которых доставляются Mirai-подобные бинарники (например, 193.34.213.150 с путями /nuts/x86 и /nuts/bolts, а также 89.144.31.18 и 31.56.27.76) и скрипт Rondo (41.231.37.153, маршрут /rondo.aqu.sh), а также дополнительные домены, связанные с загрузкой ботов. Эти данные уже сейчас можно использовать для настройки блокировок и детектирования в сетях и на конечных устройствах.