Google je uočio da pet hakerskih grupa povezanih s Kinom aktivno zloupotrebljava nedavno otkrivenu React2Shell ranjivost u svojim napadima.
React2Shell, zvanično označena kao CVE-2025-55182, pogađa sisteme koji koriste verziju 19 React biblioteke za korisnički interfejs, konkretno implementacije sa React Server Components (RSC). Pored samog Reacta, CVE-2025-55182 može uticati i na veliki broj aplikacija koje koriste Next.js, Waku, React Router ili RedwoodSDK.
CVE-2025-55182 je kritična ranjivost koja se može iskoristiti za neautentifikovano udaljeno izvršavanje koda putem posebno oblikovanih HTTP zahtjeva.
React2Shell je javno objavljena 3. decembra, a njena zloupotreba je započela istog dana.
AWS je ranije saopštio da su kineski hakeri, praćeni pod imenima Earth Lamia i Jackpot Panda, počeli da iskorišćavaju React ranjivost ubrzo nakon njenog javnog objavljivanja.
Google Threat Intelligence Group (GTIG) je takođe pratio internet u potrazi za React2Shell napadima i tokom vikenda izvijestio da je primijetio najmanje još pet različitih hakerskih grupa povezanih s Kinom koje isporučuju maliciozni softver zloupotrebom ove ranjivosti.
GTIG prati Earth Lamia pod oznakom UNC5454, ali nije podijelio informacije o potencijalno povezanim napadima koje je mogao uočiti.
Umjesto toga, GTIG je objavio kratak opis napada koje sprovodi pet drugih grupa. Jedna od njih je špijunski klaster označen kao UNC6600, koji je iskoristio React2Shell za isporuku tunelera pod nazivom Minocat.
Grupa identifikovana kao UNC6586 viđena je kako koristi React2Shell za instalaciju alata za preuzimanje Snowlight, koji se potom koristi za isporuku drugih payload-a maskiranih kao legitimni fajlovi.
UNC6588 je iskoristio CVE-2025-55182 za preuzimanje backdoora Compood, koji su kineski hakeri ranije često koristili u špijunskim kampanjama. Međutim, u ovom slučaju GTIG nije uspio da utvrdi krajnji cilj napadača.
UNC6603 je isporučio backdoor pod nazivom Hisonic, dok je UNC6595 instalirao maliciozni softver praćen kao Angryrebel.Linux.
Brojni hakeri, uključujući i finansijski motivisane sajber kriminalce, primijećeni su kako zloupotrebljavaju React2Shell za isporuku širokog spektra malicioznog softvera.
Dok je ranije već bilo izvještaja o zloupotrebi od strane kineskih i sjevernokorejskih hakera, Google je naveo da je uočio i napade koje sprovode grupe povezane s Iranom.
Nove React ranjivosti
Nakon objavljivanja React2Shell ranjivosti, u javnost su dospjele informacije o još tri dodatne React ranjivosti.
Iako su dvije od njih ocijenjene kao ranjivosti visoke ozbiljnosti, mogu se iskoristiti isključivo za uskraćivanje usluge (DoS). Ovi problemi se prate pod oznakama CVE-2025-55184 i CVE-2025-67779.
Treća ranjivost, označena kao CVE-2025-55183, ima srednji nivo ozbiljnosti i može dovesti do izlaganja izvornog koda.
Izvor: SecurityWeek
