Спустя два месяца после раскрытия критической уязвимости CVE-2025-55182 в React Server Components активность злоумышленников претерпела значительные изменения. Телеметрия компании GreyNoise за последнюю неделю января 2026 года показывает, что всего два IP-адреса теперь генерируют более половины всех наблюдаемых попыток эксплуатации. Этот показатель резко контрастирует с первоначальными данными, когда атаки исходили более чем от тысячи уникальных источников.
Описание
Ключевое отличие между двумя доминирующими источниками заключается в их конечных целях. Один развертывает вредоносное программное обеспечение для майнинга криптовалют, в то время как второй нацелен на установку обратных оболочек для получения полного контроля над скомпрометированной системой. Специалисты пока не могут с уверенностью сказать, представляют ли эти активности двух разных киберпреступников или же это разделенная инфраструктура одной группы. Однако четкое различие в поведении является ярким маркером.
Серьезность угрозы
Уязвимость CVE-2025-55182 представляет собой критическую проблему безопасности. Она получила максимально возможный балл 10.0 по шкале CVSS (Common Vulnerability Scoring System) и классифицируется как уязвимость удаленного выполнения кода, не требующая аутентификации. Для успешной атаки злоумышленнику достаточно отправить всего один специально сформированный HTTP POST-запрос. Наличие публичного модуля для фреймворка Metasploit, появившегося вскоре после раскрытия деталей уязвимости, значительно упростило ее массовую эксплуатацию.
Важно подчеркнуть, что GreyNoise фиксирует не просто сканирование или разведку, а активные попытки полноценного взлома. Организациям, использующим уязвимые версии React Server Components и не установившим обновления, следует исходить из предположения, что их системы уже могли быть атакованы.
Статистика атак
За семидневный период наблюдений с 26 января по 2 февраля 2026 года сенсоры GreyNoise зафиксировали 1 419 718 попыток эксплуатации CVE-2025-55182. Анализ трафика выявил явных лидеров. Адрес 193.142.147[.]209 был источником 488 342 сессий, что составляет 34% от общего числа. Второй по активности адрес, 87.121.84[.]24, ответственен за 311 484 сессии или 22%. Таким образом, на долю этих двух IP приходится 56% всей вредоносной активности. Оставшиеся 44% попыток были распределены между 1081 другими адресами.
Различия в тактике пост-эксплуатации
Поведение двух главных источников после успешного проникновения в систему кардинально различается, указывая на разные операционные цели.
Операция с майнингом криптовалюты, связанная с адресом 87.121.84[.]24, нацелена на скрытое использование вычислительных ресурсов. После эксплуатации уязвимости на скомпрометированный сервер загружается скрипт, который, в свою очередь, скачивает и запускает бинарный файл майнера XMRig. Загрузка производится с промежуточных серверов, расположенных по адресам 205.185.127[.]97 и 176.65.132[.]224. Оба сервера распространяют идентичные полезные нагрузки.
Операция с обратной оболочкой, исходящая от адреса 193.142.147[.]209, преследует иные цели. В случае успеха на атакованной системе немедленно открывается обратное сетевое соединение на порт 12323 сканирующего IP-адреса. Этот метод обеспечивает злоумышленнику интерактивный доступ к командной строке сервера, что открывает возможности для дальнейшего продвижения по сети, кражи данных или установки дополнительного вредоносного программного обеспечения. Данный подход не использует промежуточные серверы, что делает его более прямолинейным.
Технический анализ отпечатков JA4H, характеризующих HTTP-клиенты, подтверждает, что два источника используют разное программное обеспечение и методы подключения.
Анализ инфраструктуры злоумышленников
Исследование инфраструктуры, связанной с операцией по майнингу, выявило ее долгую историю. Первичный промежуточный сервер 205.185.127[.]97 использовался для размещения контролируемых злоумышленниками доменов как минимум с 2020 года. Записи SSL-сертификатов указывают на последовательное использование различных доменных имен, включая поддомены mased[.]top в сентябре 2020 года, mercarios[.]buzz в ноябре 2021 и bt2.radiology[.]link в январе 2022. Данные WHOIS показывают общую информацию о регистранте для этих доменов, причем некоторые регистрации датируются еще 2018 годом.
Кроме того, другие IP-адреса из той же подсети, что и сканер 87.121.84[.]24 (например, 87.121.84[.]25 и 87.121.84[.]45), в настоящее время используются для распространения модификаций вредоносного ПО Mirai и Gafgyt. Эти семейства нацелены на устройства с архитектурами MIPS и ARM, такие как потребительские маршрутизаторы и видеорегистраторы, для которых также распространяются скрипты эксплуатации.
Подробности об уязвимости
Уязвимость CVE-2025-55182 была публично раскрыта 3 декабря 2025 года. Ошибка безопасности кроется в механизме обработки сериализованных данных React Server Components. Это позволяет атакующему отправить специально созданный вредоносный POST-запрос, который сервер десериализует и выполнит без какой-либо аутентификации или взаимодействия с пользователем. Компания GreyNoise впервые зафиксировала попытки эксплуатации этой уязвимости уже 5 декабря 2025 года.
Подвержены атаке следующие версии React: 19.0.0, 19.1.0-19.1.1 и 19.2.0. Производитель выпустил исправления в версиях 19.0.1, 19.1.2 и 19.2.1. Установка этих патчей является обязательной мерой.
Паттерны атаки и группы риска
Распределение атак по сетевым портам четко указывает на то, что злоумышленники фокусируются на инфраструктуре для разработки. Наибольшее количество сессий пришлось на стандартные веб-порты 443 и 80, а также на порты 3000, 3001 и 3002, которые часто используются по умолчанию серверами разработки React и других фреймворков. Значительное количество атак также нацелено на порт 8080, распространенный для прокси-серверов и сред разработки.
Особенную опасность представляют серверы разработки React, запущенные с параметром "--host 0.0.0.0" для доступности в сети и при этом ошибочно выставленные в интернет без должной защиты. Они становятся легкой добычей для автоматизированных сканеров, использующих данную уязвимость.
В заключение, консолидация атакующей активности вокруг двух ключевых игроков свидетельствует о переходе от начальной хаотичной эксплуатации к более целенаправленным и организованным операциям. Ситуация требует немедленного внимания со стороны системных администраторов и разработчиков, которые должны убедиться в применении всех необходимых обновлений и в отсутствии небезопасно сконфигурированных серверов разработки в публичной сети.
Индикаторы компрометации
IPv4
- 176.65.132.224
- 193.142.147.209
- 205.185.127.97
- 87.121.84.24
