Угрозы января 2026: массовые атаки через уязвимости в React, GitLab и Oracle, а также новые вредоносные программы для macOS

Критическая уязвимость в React Server Components и Next.js подвергается активной эксплуатации

Центральным событием недели стало подтверждение активной эксплуатации уязвимости CVE-2025-55182. Эта критическая проблема, получившая максимальный балл 10.0 по шкале CVSS, затрагивает React Server Components (RSC) и фреймворк Next.js. Уязвимость заключается в небезопасной десериализации в протоколе 'Flight', что позволяет неавторизованным злоумышленникам выполнять произвольный код на сервере с помощью специально сформированных HTTP-запросов.

Поскольку React используется примерно 40% разработчиков, а Next.js - 18-20%, потенциальный масштаб воздействия колоссален. Исследователи уже обнаружили более 968 тысяч уязвимых экземпляров в сети, при этом 39% облачных сред содержат подверженные риску развертывания. В результате эксплуатации злоумышленники похищают учетные данные облачных сервисов, разворачивают майнеры криптовалют и устанавливают различное вредоносное ПО. Патчи доступны в версиях React 19.0.1, 19.1.2, 19.2.1 и соответствующих обновлениях Next.js. Эксперты настоятельно рекомендуют немедленное обновление, настройку правил WAF (межсетевого экрана веб-приложений) и сегментацию сети для сдерживания угрозы.

CISA добавляет четыре критические уязвимости в каталог активно эксплуатируемых

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (KEV), добавив четыре критические проблемы. В список вошли CVE-2025-34026 (обход аутентификации в SD-WAN-платформе Versa Concerto), CVE-2025-54313 (внедрение вредоносного кода в пакет "eslint-config-prettier"), CVE-2025-68645 (включение локальных файлов в Zimbra Collaboration Suite) и CVE-2025-31125 (неправильный контроль доступа в инструменте сборки Vite). Федеральные агентства США обязаны закрыть эти уязвимости до 12 февраля 2026 года, частным компаниям также рекомендовано действовать безотлагательно. Наличие этих проблем в каталоге KEV указывает на активное использование их хакерами в реальных атаках.

GitLab выпускает экстренные обновления для устранения уязвимых мест

Компания GitLab выпустила патчи версий 18.8.2, 18.7.2 и 18.6.4 для Community и Enterprise Edition, устраняющие несколько уязвимостей высокой степени серьезности. Среди них CVE-2025-13927 и CVE-2025-13928, приводящие к отказу в обслуживании (DoS) в интеграции Jira Connect и Releases API соответственно, а также CVE-2026-0723, позволяющий обойти двухфакторную аутентификацию. Владельцам самостоятельно управляемых инсталляций GitLab настоятельно рекомендуется немедленно обновиться. Исследователи отмечают, что часть атак, связанных с этими уязвимостями, исходит из России, а среди жертв значатся организации из оборонного, финансового и государственного секторов.

MonetaStealer: новая угроза для пользователей macOS

Исследователи компании Iru обнаружили новый вредоносный похититель данных для macOS под названием MonetaStealer. Находясь на ранней стадии разработки, этот автономный зловред маскируется под исполняемый файл Windows (.exe), но фактически является скомпилированным Python-скриптом. Его цель - кража паролей, cookies из браузера Chrome, а также данных из криптокошельков Exodus, Electrum, Metamask и Ledger. Кроме того, программа сканирует документы пользователя на наличие финансовых ключевых слов и номеров банковских карт, после чего архивирует данные и отправляет их через Telegram API. Пока MonetaStealer работает шумно, часто запрашивая пароли системы, его появление подтверждает тренд на рост числа угроз для экосистемы Apple.

Активные атаки на Oracle E-Business Suite через уязвимость нулевого дня

Продолжается волна эксплуатации критической уязвимости CVE-2025-61882 в Oracle E-Business Suite, оцененной в 9.8 балла CVSS. Эта проблема, уже внесенная в каталог KEV CISA, представляет собой цепочку эксплуатации, сочетающую SSRF (подделку запроса на стороне сервера), обход пути, сокрытие HTTP-запросов и инъекцию XSLT для выполнения произвольного кода без аутентификации. По данным экспертов, уязвимость активно используют группы вымогателей, в частности Clop, для вымогательства и эксфильтрации данных. Oracle выпустила экстренный патч, и его применение является первоочередной задачей для всех организаций, использующих затронутые версии (12.2.3-12.2.14) этого корпоративного продукта. Атаки затрагивают широкий спектр отраслей по всему миру.

Таким образом, текущая ситуация требует от компаний повышенной бдительности и оперативного применения патчей. Особое внимание следует уделить обновлению React, Next.js, GitLab и Oracle E-Business Suite, а также усилить мониторинг сетевой активности и внедрить строгие политики контроля доступа для сдерживания потенциальных инцидентов.

IPv4

• 112.134.208.214
• 134.122.136.119
• 134.122.136.96
• 146.70.124.165
• 146.70.124.188
• 162.215.170.26
• 192.81.210.81
• 193.233.201.12
• 195.20.17.253
• 204.76.203.125
• 23.235.188.3
• 38.59.219.27
• 41.231.37.153
• 45.143.167.7
• 45.150.108.43
• 45.157.233.80
• 45.83.181.160
• 45.88.186.70
• 46.36.37.85
• 5.231.70.66
• 5.255.121.141
• 51.81.104.115
• 70.184.13.47
• 74.194.191.52
• 80.78.18.142
• 89.144.31.18

Domains

• 2f7ac6.ceye.io
• 5axzi7.dnslog.cn
• ns1.bafairforce.army
• ns1.ubunutpackages.store
• raw.githubusercontent.com
• testing.caai.in
• vps-zap812595-1.zap-srv.com

URLs

• http://162.215.170.26:3000/sex.sh
• http://23.235.188.3:652/qMqSb
• http://45.83.181.160:8003/frpc.toml
• http://46.36.37.85:12000/sex.sh
• http://5.255.121.141/nuts/bolts
• http://5.255.121.141/nuts/poop
• http://5.255.121.141/nuts/x86
• http://51.81.104.115/nuts/bolts
• http://51.81.104.115/nuts/poop
• http://51.81.104.115/nuts/x86
• http://vps-zap812595-1.zap-srv.com:3000/sex.sh
• https://github.com/tesweva/Nextjs-RCE-Exploit-Kit.git
• https://ns1.bafairforce.army
• https://ns1.ubunutpackages.store
• https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh
• https://sploitus.com/exploit?id=3B6E5425-973F-56B4-AC0A-FA3EDC02389C

SHA256

• 172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32
• 1a5027adf99076470444c5ffdd83a4313ab1d21827700699d0ee6ab1337beb70
• 2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96
• 3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956
• 4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354
• 4885adc9de7e91b74a3ac01187775459acf3e4e026ee2fa776b3419cf8dbaf00
• 50be5257678412f0810d46e0b0bc573eb65c6ce4617346c1527ff0dc9b7fc79e
• 6f746388853178a3b4c2c91a6bd98438fb59e760caa273a8d6a4c03936498c39
• 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b
• 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d
• 858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb
• 895f8dff9cd26424b691a401c92fa7745e693275c38caf6a6aff277eadf2a70b
• 8e0bc23a87d349e5a5356252ce17576093b7858fdf6ea84919fbdcb2e117168e
• 964473ffbd593fc52a779b1d699c79cc66b459cf842c2e6221703e2e6a2322c0
• a01e57611537699d85e9767023638dbd88a224075a866c17509dc17d7e5ddbde
• aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121
• dafc7517669e931de858464966af995c44c2e7c6bdf684d53c54d6503cd48a38