React2Shell против ИТ-сектора: BI.ZONE обнаружила масштабную кампанию против российского бизнеса

Специалисты BI.ZONE TDR обнаружили масштабную кампанию кибератак, направленную против российских компаний из сферы страхования, электронной коммерции и IT. Злоумышленники эксплуатируют критическую уязвимость CVE-2025-55182, получившую название React2Shell, которая затрагивает популярный фреймворк React.

Проблема кроется в протоколе Flight, который обеспечивает связь между клиентом и сервером в React Server Components. Уязвимость возникает из-за небезопасной десериализации данных — сервер принимает информацию от клиента без должной проверки, что при определённых условиях позволяет злоумышленнику выполнить произвольный код на сервере.

В атаках на российские компании хакеры чаще всего распространяли майнер криптовалюты XMRig, а иногда использовали ботнеты Kaiji и Rustobot или имплант Sliver. В одном из случаев после компрометации системы через React2Shell злоумышленники загрузили вредоносную программу RustoBot — ботнет, написанный на языке Rust, который способен проводить DDoS-атаки методами UDP flood, TCP flood и Raw IP flood. Интересно, что внутри RustoBot также встроен майнер XMRig.

В другом эпизоде атакующие использовали комбинацию из нескольких вредоносных скриптов. Сначала они загружали скрипт для установки майнера XMRig, который сохранялся в системные директории и закреплялся через службу systemd и задачу Cron. Затем на скомпрометированный хост попадал ботнет Kaiji, способный не только проводить DDoS-атаки, но и выполнять произвольные команды, а также подменять системные утилиты вроде ls, ps и netstat модифицированными версиями. Завершался набор инструментов имплантом Sliver для удалённого управления заражённой системой.

Исследователи также зафиксировали случаи, когда хакеры использовали технику DNS-туннелирования для скрытой передачи результатов выполнения команд. Они отправляли запросы nslookup с встроенными командами на специально подготовленные домены в зоне oastify.com, получая таким образом информацию о скомпрометированной системе.

Активность по распространению Kaiji и Sliver с использованием React2Shell ранее описывала компания Huntress.

За пределами России атаки оказались ещё разнообразнее. BI.ZONE Threat Intelligence исследовала кампании, которые не были нацелены на российские компании, но аналогичным образом эксплуатировали уязвимость React2Shell для распространения более широкого спектра вредоносного ПО. Злоумышленники распространяли имплант CrossC2 для Cobalt Strike, инструмент удалённого администрирования Tactical RMM, загрузчики и бэкдор VShell, а также троян удалённого доступа EtherRAT. Последний особенно примечателен — это JavaScript-зловред, который получает адрес своего командного сервера из смарт-контракта Ethereum, что делает инфраструктуру атакующих более устойчивой к блокировкам.

EtherRAT, который ранее анализировала команда Sysdig Threat Research Team, обладает впечатляющим набором методов закрепления в системе — от службы systemd до автозапуска через XDG, crontab, файлы .bashrc и .profile. После закрепления вредонос загружает с командного сервера фрагменты JavaScript-кода, включая стилер для кражи криптовалютных кошельков, токенов доступа, SSH-ключей и учётных данных баз данных, а также модуль для сканирования и заражения других уязвимых хостов.

Один из скриптов, распространявшихся в ходе атак, модифицировал конфигурацию веб-серверов nginx и Apache таким образом, чтобы весь HTTP и HTTPS трафик перенаправлялся на внешний домен злоумышленников. Скрипт создавал резервные копии оригинальных конфигураций, а затем полностью заменял их на вредоносные настройки с редиректом.

Специалисты BI.ZONE подчёркивают, что злоумышленники могут начать эксплуатировать критические уязвимости буквально в течение нескольких часов после их публикации, хотя многие из таких проблем так и не используются в реальных атаках. Важно не только устранить уязвимость, но и проверить системы на признаки успешной компрометации и постэксплуатационной активности.

Уязвимость CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0, 19.1.0, 19.1.1 и 19.2.0. Патчи выпущены в версиях 19.0.1, 19.1.2 и 19.2.1. Разработчикам настоятельно рекомендуется немедленно обновить все зависимости до исправленных версий и проверить файлы блокировки пакетов, чтобы убедиться в полном удалении уязвимых версий. Подробную информацию об уязвимости и применённых исправлениях можно найти в официальном анонсе React. Проекты на Next.js, использующие React Server Components, также могут быть подвержены этой проблеме и требуют проверки.