Китайские шпионы, иранские хакеры и майнеры: кто и как уже ломает ваши серверы через дыру в React

Критическая уязвимость в популярной JavaScript-библиотеке React, получившая имя React2Shell, уже стала массово использоваться в атаках: по данным Google, к эксплуатации подключились как минимум пять новых китайских шпионских групп, «иранские» злоумышленники и обычные киберпреступники. Проблема отслеживается как CVE-2025-55182 и позволяет неаутентифицированному атакующему удаленно выполнить код на уязвимой системе — а значит, быстро превратить сервер в точку входа для бэкдоров, туннелеров и майнеров криптовалюты.

Разработчики React раскрыли баг 3 декабря, и атаки начались почти сразу. Команда threat intelligence компании Amazon сообщила, что китайские государственные группы, включая Earth Lamia и Jackpot Panda, начали «простукивать» уязвимость в считанные часы после публикации. По оценке реагирования Unit 42 из Palo Alto Networks, пострадавших уже больше 50 организаций из разных отраслей, при этом в эксплуатации засветились и атакующие из Северной Кореи.

Google добавляет, что помимо уже известных игроков React2Shell активно применяют как минимум пять дополнительных групп, которые компания связывает с КНР. Отдельно упоминаются и финансово мотивированные злоумышленники, которые после взлома разворачивают XMRig для нелегального майнинга, а также «актеры с иранской привязкой» — без уточнения, кто именно они и что делают после проникновения.

Исследователи Google также отмечают оживление на подпольных форумах вокруг CVE-2025-55182: там обсуждают уязвимость, делятся ссылками на сканеры, proof-of-concept-кодом и опытом успешной эксплуатации. На практике это выливается в довольно типичный для «горячих» дыр сценарий: как только появляется рабочий инструментарий, его подхватывают разные группы — от шпионских до чисто криминальных.

В перечне связанных с Пекином активностей Google называет несколько кластеров. Так, UNC6600 использует дыру, чтобы доставлять туннелер Minocat и закрепляться в зараженных системах. UNC6586 применяет React2Shell для установки бэкдора Snowlight: его телеметрия включала HTTP GET-запросы к инфраструктуре управления, откуда подтягивались дополнительные полезные нагрузки, замаскированные под легитимные файлы.

Еще один кластер, UNC6588, после эксплуатации загружает бэкдор Compood, а UNC6603 — обновленную версию Hisonic. По данным Google Threat Intelligence, активность UNC6603 нацелена на облачную инфраструктуру, прежде всего на инстансы в AWS и Alibaba Cloud в Азиатско-Тихоокеанском регионе. Наконец, UNC6595, также связанная с КНР группа, злоупотребляет уязвимостью для развертывания Angryrebel.Linux и в основном выбирает инфраструктуру на международных VPS.

На этом проблемы React не заканчиваются: помимо CVE-2025-55182 были раскрыты еще три уязвимости — CVE-2025-55183, CVE-2025-55184 и CVE-2025-67779. Они позволяют вызывать отказ в обслуживании и в отдельных сценариях потенциально приводят к утечке исходного кода Server Function.

Чтобы снизить риск худшего сценария по всем четырем уязвимостям, рекомендуется как можно скорее пропатчить уязвимые React Server Components и внимательно мониторить сеть на исходящие подключения к индикаторам компрометации из отчета Google — особенно на команды wget или cURL, которые запускаются процессами веб-сервера. В качестве дополнительных «следов» компрометации Google советует охотиться за свежесозданными скрытыми каталогами вроде $HOME/.systemd-utils, за несанкционированным завершением процессов, включая ntpclient, а также за внедрением вредоносной логики выполнения в файлы конфигурации оболочки, например $HOME/.bashrc.