Торренты на службе хакеров. Как новый бэкдор PeerBlight прячет управление в сети BitTorrent

leer en español

Huntress React Next.js PeerBlight ZinFoq React2Shell
Торренты на службе хакеров. Как новый бэкдор PeerBlight прячет управление в сети BitTorrent
Huntress React Next.js PeerBlight ZinFoq React2Shell

Как код на Go помогает хакерам подменять временные метки и скрывать следы взлома.

image

Сразу после публичного раскрытия критической уязвимости в React Server Components злоумышленники начали использовать её для атак на организации из разных отраслей. Команда Huntress сообщает, что речь идёт о проблеме класса RCE без аутентификации, которая позволяет запустить код одним специально сформированным HTTP-запросом.

Уязвимость получила идентификатор CVE-2025-55182 и неофициальное название «React2Shell». О ней стало известно 3 декабря 2025 года, оценка по CVSS достигает 10,0, а разработчики React рекомендовали срочно обновиться. В Huntress фиксируют попытки эксплуатации как минимум с 8 декабря в инфраструктурах нескольких клиентов. Параллельно в экосистеме Next.js упоминался CVE-2025-66478, но его позже отклонили как дубликат CVE-2025-55182.

По наблюдениям Huntress, после первичного проникновения атакующие разворачивают разный набор нагрузок. Среди них — майнер криптовалюты, бэкдор для Linux, который получил имя PeerBlight, а также инструменты для закрепления и дальнейшего продвижения внутри сети. PeerBlight интересен тем, что в качестве запасного канала управления использует BitTorrent DHT, что осложняет блокировку инфраструктуры по доменам.

Ещё один компонент кампании — CowTunnel, обратный прокси-туннель, который устанавливает исходящие соединения к серверам FRP под контролем атакующих и помогает обходить ограничения периметра. В отдельных случаях встречался постэксплуатационный имплант на Go под названием ZinFoq с функциями обратных оболочек, проксирования SOCKS5 и подмены временных меток файлов для сокрытия следов. Также отмечена раздача варианта ботнета Kaiji, совмещающего DDoS-возможности с механизмами установления постоянства и приёмами, заставляющими систему перезагружаться при попытке «прибить» процесс.

В логах одного из инцидентов Huntress увидела признаки автоматизации — одинаковые проверки выполнения команд и попытки запускать Linux-нагрузки на Windows-хостах. Перед эксплуатацией, по данным компании, применялся общедоступный сканер react2shell-scanner от Assetnote, который ищет уязвимые экземпляры Next.js.

Для снижения риска Huntress рекомендует как можно быстрее обновить затронутые пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack до исправленных выпусков (19.0.1, 19.1.2 и 19.2.1). Для Next.js есть отдельная утилита fix-react2shell-next, которая проверяет версию и помогает привести её к безопасному состоянию.