美國網路安全暨基礎設施安全局(CISA)已將
React2Shell 漏洞的修補期限從 12 月 26 日提前至 12 月 12 日,顯示威脅情勢十分嚴峻。這個編號為
CVE-2025-55182 的重大漏洞,CVSS 評分達到滿分 10.0,
影響範圍涵蓋 React Server Components(RSC)Flight 協定,以及 Next.js、Waku、Vite 等多個框架。
漏洞原理與攻擊規模
這個漏洞源於不安全的反序列化(unsafe deserialization)機制。攻擊者只需發送特製的 HTTP 請求,無需身分驗證或使用者互動,就能在受影響的伺服器上執行任意特權 JavaScript 程式碼。Cloudflare 威脅情報團隊指出,攻擊門檻極低,但破壞力驚人。
Google 威脅情報團隊識別出至少五個與中國有關的駭客組織正在利用這個漏洞。UNC6600 部署 MINOCAT 隧道工具,UNC6586 使用 SNOWLIGHT 下載器,UNC6588 散布 COMPOOD 後門程式,UNC6603 部署更新版 HISONIC 後門程式(該程式利用 Cloudflare Pages 和 GitLab 混入合法網路流量),UNC6595 則部署 Linux 版本的 ANGRYREBEL。
延伸閱讀:React2Shell 滿分漏洞遭瘋狂利用 Google 揭露至少八個中國駭客組織加入攻擊行列
Palo Alto Networks Unit 42 發現名為 KSwapDoor 的專業級遠端存取工具。資深威脅情報研究經理 Justin Moore 表示,這個工具具備三大功能:
建立內部網狀網路讓受感染伺服器彼此通訊以規避安全封鎖、
使用軍事級加密隱藏通訊,以及
提供「休眠模式」(sleeper mode) 功能,讓攻擊者用秘密信號喚醒惡意軟體繞過防火牆。根據程式碼結構和功能特徵,研判這是中國國家級駭客的作品。
Cloudflare 觀察到威脅行為者利用網際網路掃描平台搜尋暴露的 React 和 Next.js 應用程式,部分偵察活動刻意排除中國 IP 位址空間。
攻擊密度最高的地區包括台灣、新疆、越南、日本和紐西蘭這些經常與地緣政治情報收集相關的地區。攻擊目標包括政府網站、學術研究機構和關鍵基礎設施營運商,甚至包括負責鈾、稀有金屬和核燃料進出口的國家機構。
勒索軟體快速攻擊鏈
企業情報與網路安全公司 S-RM 觀察到,威脅行為者在 12 月 5 日利用 React2Shell 部署 Weaxor 勒索軟體。這起攻擊速度驚人:
駭客取得初始存取權限後,立即執行混淆的 PowerShell 指令部署 Cobalt Strike 信標(beacon),接著停用 Windows Defender 並啟動勒索軟體。從初始存取到完成攻擊,整個過程不到一分鐘。
加密後的檔案副檔名為「.WEAX」,每個受影響的目錄都會留下勒索信。研究人員指出,同一台主機隨後又遭其他攻擊者入侵,顯示 React2Shell 周圍的惡意活動規模龐大。
大規模資料竊取行動
義大利資安公司 Beelzebub 揭露代號為
Operation PCPcat 的攻擊活動,已入侵超過 5 萬 9,000 台伺服器,成功率高達 64.6%。攻擊者系統性地竊取環境變數檔案、SSH 金鑰、雲端憑證(AWS、Docker 配置檔)、Git 憑證、指令歷史記錄和系統檔案。
該活動透過位於新加坡的命令與控制(C2)伺服器運作,在三個主要埠協調行動:
666 埠分發惡意載荷,
888 埠處理反向隧道連線,
5656 埠運行主控制伺服器。惡意軟體會建立持久性機制、安裝 SOCKS5 代理伺服器,並部署 React 掃描器進一步傳播,具備大規模情報行動和工業級資料竊取的特徵。
PoC攻擊程式碼氾濫與新漏洞
此外,趨勢科技也識別出約 145 個公開的 React2Shell 攻擊程式。儘管大多數無效或包含惡意軟體,研究人員仍發現一些值得注意的程式。其中一個包含載入 Godzilla 記憶體內網頁殼層(in-memory web shell)的邏輯,另一個由中文開發者編寫的 GUI 工具則包含針對網頁應用程式防火牆(WAF)的 Unicode 繞過技術。
React 團隊已發布修補程式,修復安全社群發現的新漏洞。
CVE-2025-55184(CVSS 7.5)是阻斷服務(DoS)漏洞,會觸發無限迴圈導致伺服器掛起。
CVE-2025-67779(CVSS 7.5)是前者的不完整修補。CVE-2025-55183(CVSS 5.3)是資訊洩漏漏洞,可能洩露 Server Function 的原始碼。
防護建議
系統管理員應立即採取以下措施:
- 更新 React 相關套件至最新版本(19.0.3、19.1.4、19.2.3)
- 檢查 Windows 事件日誌和 EDR 遙測資料,尋找與 Node 或 React 相關的可疑程序
- 監控從 node.exe 產生 cmd.exe 或 powershell.exe 的異常行為
- 注意異常對外連線、已停用的安全解決方案、日誌清除和資源使用尖峰
- 監控與 C2 伺服器 67.217.57.240 在 666、888 和 5656 埠的連線
- 檢查名稱包含 pcpcat 的 systemd 服務
本文轉載自 TheHackerNews、BleepingComputer、CybersecurityNews。