بناءً على هجمات PeerBlight السابقة، يبلغ Google Threat Intelligence عن استغلال ثغرة React2Shell (CVE-2025-55182) من قبل مجموعات مرتبطة بـChina وجهات مدفوعة مالياً تنشر أبواب خلفية ومنقبي عملات مشفرة على أنظمة React وNext.js الضعيفة.
كما تم تفصيله في التغطية السابقة لحملة الباب الخلفي PeerBlight لـLinux التي تستغل React2Shell (CVE-2025-55182)—ثغرة RCE حرجة في React Server Components تم الكشف عنها في 3 ديسمبر 2025—لقد كثّف ممثلو التهديد الإضافيون الهجمات. الثغرة (CVSS 10.0) تؤثر على إصدارات React 19.0 و19.1.0 و19.1.1 و19.2.0 بسبب فك التشفير غير السليم للحمولة، مما يمكن تنفيذ كود غير مصدق عبر طلبات HTTP مصممة.
لقد لاحظت Google Threat Intelligence Group (GTIG) حملات من مجموعات مرتبطة بـChina UNC6600 وUNC6586 وUNC6588 وUNC6603 بعد الكشف مباشرة. ينشر UNC6600 نفق MINOCAT عبر وظائف cron وsystemd؛ يستخدم UNC6586 برنامج تنزيل SNOWLIGHT مرتبط بـreactcdn.windowserrorapis[.]com؛ يستخدم UNC6603 باب خلفي HISONIC محدث مبني على Go مستضاف على Cloudflare/GitLab، يستهدف سحب آسيا والمحيط الهادئ. البرمجيات الضارة الإضافية تشمل باب خلفي COMPOOD (متخفياً كأدوات) وANGRYREBEL.LINUX (تقليد خادم SSH مع timestomping).
منذ 5 ديسمبر، نشر ممثلون مدفوعون مالياً منقبي XMRig باستخدام sex.sh، مما ينشئ خدمات systemd مزيفة 'system-update-service'. مستودعات الاستغلال، بما في ذلك webshells في الذاكرة، تنتشر.
للتخفيف، قم بالترقية إلى React 19.0.1 أو 19.1.2 أو 19.2.1+، باستخدام Cloud Armor WAF، مراقبة IOCs مثل $HOME/.systemd-utils، عناوين IP 45.76.155[.]14 و82.163.22[.]139، وهاشات VirusTotal من GTIG لـMINOCAT وCOMPOOD وSNOWLIGHT.
