Критическая уязвимость в популярном веб-фреймворке React, получившая название React2Shell (CVE-2025-55182), активно используется хакерскими группами для удаленного выполнения кода на серверах. В частности, связанные с КНДР операторы развертывают через неё сложный троян EtherRAT, использующий блокчейн Ethereum для управления. Эта кампания представляет серьезную угрозу для облачной инфраструктуры.
Описание
Уязвимость React2Shell затрагивает протокол React Server Components Flight. Проблема заключается в ошибке десериализации, которая позволяет злоумышленнику, отправив всего один специально сформированный HTTP-запрос, выполнить произвольный код на сервере. Эксплуатация возможна в конфигурациях по умолчанию для React 19 Server Components и основанных на App Router развертываниях Next.js.
Активность в дикой природе разделилась на два направления. Группы, связанные с Китаем, такие как Earth Lamia и Jackpot Panda, используют уязвимость для майнинга криптовалют, кражи облачных учетных данных и получения общего доступа к инфраструктуре. Параллельно с этим действуют операторы, связанные с КНДР. Они развертывают троян EtherRAT - скрытный имплант, который использует легитимную среду выполнения Node.js, зашифрованные полезные нагрузки, пять уровней обеспечения устойчивости (persistence) и систему команд на основе Ethereum.
Цепочка заражения EtherRAT оптимизирована для надежности и скрытности. После успешной эксплуатации React2Shell запускается начальный загрузчик (stager), который скачивает скрипт. Этот скрипт, в свою очередь, загружает подписанный официальный бинарник Node.js для маскировки, создает скрытые каталоги и размещает в них зашифрованную полезную нагрузку трояна.
Ключевой особенностью EtherRAT является его механизм командования и управления (C2). Вместо жестко заданного домена или IP-адреса, вредоносная программа обращается к определенному смарт-контракту в сети Ethereum, чтобы получить актуальный адрес управляющего сервера. Более того, имплант параллельно опрашивает несколько публичных Ethereum-нод и использует консенсусное голосование для выбора доверенного значения. Это обеспечивает высокую устойчивость инфраструктуры к блокировкам или попыткам подмены.
Для обеспечения долговременного присутствия в системе EtherRAT использует пять перекрывающихся механизмов устойчивости. К ним относятся создание пользовательского сервиса systemd, записи автозагрузки XDG, задание в cron, а также внедрение кода в файлы .bashrc и .profile пользователя. Все эти векторы необходимо проверить и очистить для полного устранения угрозы.
Для обнаружения инцидентов специалисты рекомендуют комбинировать несколько подходов. На сетевом уровне следует отслеживать HTTP-запросы с заголовками, характерными для действий React Server Components, и подозрительными телами Flight-потоков. Также важно контролировать исходящие подключения веб-серверов к публичным Ethereum-нодам. На уровне хоста индикаторами компрометации являются скрытые каталоги в домашних директориях пользователей, процессы Node.js, запущенные из нестандартных путей, и модифицированные профильные файлы оболочки.
Меры по смягчению последствий должны быть незамедлительными и комплексными. Во-первых, необходимо применить патчи к уязвимым фреймворкам. Во-вторых, следует настроить правила в межсетевых экранах веб-приложений (WAF) для блокировки попыток эксплуатации. В-третьих, важно сегментировать сеть и ограничить исходящий трафик с веб-серверов. В случае подтвержденного заражения EtherRAT безопаснее всего изолировать скомпрометированный хост, создать его образ для анализа, а затем полностью перестроить рабочую нагрузку из доверенного источника, одновременно выполнив ротацию всех потенциально доступных злоумышленникам учетных данных.
Конвергенция широко распространенной критической уязвимости и продвинутого бэкдора с децентрализованным управлением задает новый стандарт серверных угроз. Традиционные периметровые защиты и простые блокировки доменов здесь недостаточны. Командам безопасности необходимо сочетать оперативное обновление с глубоким анализом поведения веб-серверов, тщательной проверкой механизмов автозапуска и строгим контролем исходящего сетевого трафика.
Индикаторы компрометации
Domains
- cnzzs.co
- earn.top
- minecraft.net.br
- superminecraft.net.br
- t.cnzzs.co
URLs
- http://193.34.213.150/nuts/bolts
- http://193.34.213.150/nuts/x86
- http://anywherehost.site/xb/runner.zip
- http://anywherehost.site/xb/systemd-devd.$
- http://anywherehost.site/xms/k1.sh?grep
- http://anywherehost.site/xms/kill2.sh
- http://anywherehost.site/xms/su
- http://anywherehost.site/xms/t1.ps1
- http://ax29g9q123.anondns.net
- http://inerna1.site/xb/runner.zip
- http://inerna1.site/xb/systemd-devd.x86_64
- http://inerna1.site/xms/k1.sh
- http://inerna1.site/xms/t1.ps1
- http://ip.inovanet.pt/systemprofile.zip
- http://keep.camdvr.org:8000/BREAKABLE_PARABLE10
- http://keep.camdvr.org:8000/BREAKABLE_PARABLE5
- http://keep.camdvr.org:8000/d5.sh
- http://superminecraft.net.br:3000/sex.sh
MD5
- 018579b001ebb8132860c26b90c12855
- 0ebc1aa375125e74354ef93eca1efbbe
- 21864fd36817d39883d7fb470cb4c53b
- 48c3ea7686ad8035490bb6110616cd32
- 53dc944dc8bf8e2c78184a09326256ea
- e68a5a0a7b60e0a78c605d359ebcccb2
- eaa8b69bb64887abd86dacdd9a917135
