Ситуация вокруг критической уязвимости React2Shell продолжает развиваться. Так, специалисты уже зафиксировали атаки на российские компании. По информации Google, проблему применяют все больше китайских и иранских группировок, а также React2Shell уже используют вымогатели. Параллельно с этим разработчики React исправили еще несколько новых багов в React Server Components. React2Shell (CVE-2025-55182) — обнаруженная в начале декабря 2025 года критическая уязвимость в популярной jаvascript-библиотеке React компании Meta (деятельность компании признана экстремистской и запрещена в России). Проблема получила 10 баллов из 10 возможных по шкале CVSS, связана с небезопасной десериализацией данных в React Server Components и позволяет удаленно выполнить код на сервере, используя обычный HTTP-запрос (без аутентификации и каких-либо привилегий). Баг затрагивает свежие версии 19.0, 19.1.0, 19.1.1 и 19.2.0 в конфигурациях по умолчанию, а также популярный фреймворк Next.js. Исправления выпущены в составе версий React 19.0.1, 19.1.2 и 19.2.1, а также для затронутых релизов Next.js. Эксперты предупреждают, что аналогичные проблемы могут присутствовать и в других библиотеках с имплементациями React Server, включая: Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK и Waku. Как уже сообщалось ранее, уязвимость практически сразу начали эксплуатировать китайские хак-группы Earth Lamia и Jackpot Panda, а также северокорейская группировка Lazarus, а от атак еще в начале месяца пострадали не менее 30 организаций. За последние полторы недели стало известно, что с помощью React2Shell уже атаковали российские компании, а к середине декабря эксплуатацией занялись минимум пять китайских хак-групп и даже вымогатели. Атаки на российские компании Первые три атаки на российский бизнес с применением React2Shell зафиксировали специалисты компании BI.ZONE. По их информации, под удар попали неназванная страховая компания, ритейлер автозапчастей и ИТ-компания, работающая с госорганами. Во всех случаях целью атак была установка майнерf XMRig, предназначенного для добычи криптовалюты Monero за счет ресурсов скомпрометированных машин. В одной из атак злоумышленники также пытались развернуть на зараженных машинах ботнеты Kaiji и RustoBot, используемые для DDoS-атак и проксирования трафика. Массовая эксплуатация Агентство по кибербезопасности и защите инфраструктуры США (CISA) первоначально давало федеральным ведомствам срок до 26 декабря 2025 на установку патчей, но затем сократило дедлайн до 12 декабря, так как масштабы проблемы оказались серьезнее, чем предполагалось. К примеру, по данным «Лаборатории Касперского», уже по состоянию на 10 декабря было зафиксировано более 35 000 попыток эксплуатации CVE-2025-55182. Атакующие разворачивали в сетях жертв майнеры, ботнеты Mirai/Gafgyt и RondoDox, маяки Cobalt Strike, Sliver, Go-бэкдоры с возможностями реверс-шелла и разведки. Некоторые злоумышленники также использовали TruffleHog и Gitleaks для сбора секретов из репозиториев. Кроме того, аналитики из компании Huntress выявили ранее неизвестные образцы малвари, для распространения которых применялась React2Shell. В частности, были найдены: Linux-бэкдор PeerBlight (код которого явно пересекается с малварью RotaJakiro и Pink); обратный прокси-сервер CowTunnel; пост-эксплуатационный фреймворк ZinFoq, написанный на Go; скрипты-загрузчики d5.sh и fn22.sh, отвечающие за развертывание Sliver C2; а также wocaosinm.sh — вариация малвари Kaiji, предназначенной для DDoS-атак. «Правительственные» хакеры На этой неделе эксперты Google Threat Intelligence Group (GTIG) связали эксплуатацию React2Shell как минимум с пятью китайскими APT-группировками. По данным аналитиков, UNC6600 доставляла с помощью уязвимости инструмент для туннелирования MINOCAT, UNC6586 — загрузчик SNOWLIGHT, UNC6588 — бэкдор COMPOOD, UNC6603 — обновленную версию бэкдора HISONIC, а UNC6595 — Linux-версию трояна ANGRYREBEL. Помимо китайских групп, была замечена активность иранских хакеров, которые эксплуатировали React2Shell для майнинга посредством XMRig. В свою очередь, специалисты компании Microsoft отметили, что уже скомпрометированы несколько сотен машин разных организаций. По их словам, злоумышленники применяют CVE-2025-55182, а также инструменты TruffleHog и Gitleaks, и кастомные скрипты для поиска и хищения различных секретов, а также кражи учетных данных AWS, токенов Azure, API-ключей OpenAI и учетных данных Kubernetes. Вымогатели и Linux-бэкдоры На этой неделе исследователи из компании S-RM предупредили, что еще 5 декабря 2025 года зафиксировали атаку вымогателя Weaxor, который эксплуатировал React2Shell. От взлома до развертывания шифровальщика прошло меньше минуты: хакеры выполнили обфусцированную PowerShell-команду, развернули Cobalt Strike, отключили Windows Defender и запустили малварь. При этом боковое перемещение по сети жертвы атакующие не осуществляли, — инцидент ограничился лишь одним пострадавшим хостом. Практически одновременно с этим эксперты Palo Alto Networks и NTT Security описали вредоносные кампании по распространению Linux-бэкдоров KSwapDoor и ZnDoor, в которых также применялась уязвимость React2Shell. По словам исследователей, KSwapDoor представляет собой профессионально разработанный RAT, создающий внутреннюю mesh-сеть между скомпрометированными серверами, использующий «шифрование военного уровня» и имеющий специальный спящий режим, предназначенный для обхода защитных решений. ZnDoor, впервые обнаруженный еще в атаках на японские организации в декабре 2023 года, предоставляет своим операторам интерактивный шелл, возможность выполнения файловых операций, развертывания SOCKS5-прокси и изменения timestamps. Новые уязвимости в React Пока злоумышленники активно эксплуатировали React2Shell, исследователи обнаружили еще три уязвимости в React Server Components — CVE-2025-55184, CVE-2025-67779 и CVE-2025-55183. Первые две проблемы связаны с небезопасной десериализацией данных из HTTP-запросов и приводят к отказу в обслуживании (DoS) через бесконечный цикл, который в итоге «вешает» серверный процесс. Третья уязвимость приводит к утечке исходного кода любых Server Function при специально сформированном HTTP-запросе. Разработчики React объяснили обнаружение новых проблем, заявив, что это стандартная для индустрии практика: после раскрытия критической уязвимости исследователи проверяют соседние участки кода на предмет обхода первоначальных исправлений. Патчи для трех новых багов вышли в версиях 19.0.3, 19.1.4 и 19.2.3. Немного статистики В настоящее время специалисты Shadowserver отслеживают около 110 000 IP-адресов, уязвимых для атак React2Shell, более 80 000 из которых находятся в США, а более 1000 — в России. Еще в конце прошлой недели эксперты компании VulnCheck насчитали в сети более 140 публичных PoC-эксплоитов для React2Shell, примерно половина из которых действительно работает, а остальные либо сломаны, либо намеренно вводят исследователей в заблуждение. По-настоящему работающие эксплоиты способны загружать in-memory веб-шеллы вроде Godzilla, сканировать ресурсы в поисках уязвимости, а также разворачивать легковесные WAF для блокировки вредоносных пейлоадов. В компании Coalition сравнили React2Shell с нашумевшей уязвимостью Log4Shell, найденной в 2021 году, и отметили, что уязвимость создает системные риски для всей индустрии. С этим мнением коллег согласны и аналитики из компании Rapid7, которые подчеркивают, что сейчас эксплуатацию CVE-2025-55182 можно наблюдать одновременно по всему спектру угроз — от низкоквалифицированных операторов криптомайнеров и Mirai-ботнетов до профессиональных правительственных группировок.