استغلال ثغرة React2Shell لبرمجيات PeerBlight الضارة على لينكس

العربية

ثغرة حرجة في React Server Components، المعروفة باسم React2Shell ومسجلة بـ CVE-2025-55182، يتم استغلالها بنشاط لنشر باب خلفي جديد للينكس يُدعى PeerBlight. هذا البرمجيات الضارة تحول الخوادم المتضررة إلى عقد وكيل ومركز قيادة وتحكم سرية. يستخدم المهاجمون طلب HTTP مصمم واحدًا لتنفيذ كود تعسفي على تطبيقات Next.js وReact الضعيفة.

تنشأ ثغرة React2Shell من مشكلة في إلغاء التسلسل غير الآمن في كيفية تعامل React Server Components مع "chunks" React Flight. يمكن لمهاجم غير مصدق حقن منطق ضار من خلال كائن "thenable" مصمم خصيصًا، مما يجبر الخادم على تنفيذ JavaScript تعسفي أثناء التصيير من جانب الخادم. تؤثر هذه الثغرة على عدة إصدارات من حزمة react-server-dom وقد لوحظت في هجمات على تطبيقات Next.js المعرضة للإنترنت، غالبًا ما تبدأ بأوامر curl أو wget بسيطة لجلب نصوص shell و payloads ELF.

لاحظ الباحثون في الأمن مسحًا نشطًا باستخدام ماسح React2Shell المتاح علنًا، يمكن التعرف عليه من خلال User-Agent الافتراضي في السجلات. وقد حدث الاستغلال في البرية، مما يمكن من أنشطة تالية مثل توزيع البرمجيات الضارة وتعدين العملات المشفرة وآليات الاستمرارية.

بمجرد الدخول، ينشر المهاجمون PeerBlight، باب خلفي متقدم للينكس مع هيكل قيادة وتحكم (C2) متعدد الطبقات. يتصل أولاً بخادم C2 مشفر في 185.247.224.41:8443، متفاوضًا على مفاتيح جلسة AES-256 من خلال مصافحات مشفرة بـ RSA. يرسل البرمجيات الضارة إشارات JSON تفصل في بنية الجهاز المضيف ونظام التشغيل ومعرف مجموعة الحملة. إذا فشل C2 الأساسي، يلجأ إلى خوارزمية توليد نطاقات (DGA) التي تنشئ حتى 200 زوج نطاق-منفذ، وفي النهاية تستفيد من شبكة BitTorrent DHT مع بادئة ID عقدة مميزة “LOLlolLOL” لاكتشاف C2 من نظير إلى نظير.

للاستمرارية والتخفي، ينسخ PeerBlight نفسه إلى /bin/systemd-daemon ويسجل كـ systemd-agent على أنظمة تستخدم systemd، أو يسقط وظيفة Upstart على التوزيعات القديمة. يعيد كتابة argv وأسماء العمليات ليحاكي خيط kernel [ksoftirqd]، متجنبًا الكشف في قوائم العمليات.

يتعامل الباب الخلفي مع ما لا يقل عن 10 أنواع أوامر قائمة على JSON، بما في ذلك تحميل وتنزيل الملفات، إنشاء reverse-shell، تعديل الصلاحيات، تنفيذ ثنائيات تعسفية، وترقيات في الذاكرة. تحول هذه الإعداد المضيفين المصابين إلى عقد وكيل مرنة للاقتحامات الإضافية والحركة الجانبية.

قد قدمت نفس الحملة أيضًا أدوات مثل CowTunnel (وكيل عكسي قائم على xfrpc)، ZinFoq (زرع Go مع pivoting SOCKS5 و timestomping)، تعدين XMRig، ومتغير botnet Kaiji لوظائف DDoS و watchdog. يُنصح المنظمات التي تستخدم React Server Components أو Next.js الضعيفة بتطبيق التصحيحات فورًا ومراقبة مؤشرات PeerBlight، مثل ثنائياتها، ملفات systemd-agent، عقد DHT LOLlolLOL، والحركة المرورية إلى نقاط نهاية C2 المعروفة.

مقالات ذات صلة

Dramatic server room scene illustrating the SSHStalker Linux botnet infecting thousands of vulnerable servers via SSH exploits.
صورة مولدة بواسطة الذكاء الاصطناعي

Researchers discover SSHStalker botnet infecting Linux servers

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

New Linux botnet SSHStalker uses IRC for command-and-control

Researchers have identified a new Linux botnet called SSHStalker that relies on the outdated IRC protocol for its command-and-control operations. The botnet spreads through SSH scanning and brute-forcing, targeting cloud infrastructure. It incorporates old vulnerabilities and persistence mechanisms for broad infection.

Linux CopyFail exploit threatens root access amid Ubuntu outage

من إعداد الذكاء الاصطناعي

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

كريبتو

Threat actors abuse Pastebin for ClickFix scam on crypto swaps

لينكس

Linux rootkits advance with eBPF and io_uring techniques

تكنولوجيا

OpenClaw patches severe vulnerability granting admin access

Microsoft patches critical ASP.NET Core vulnerability on macOS and Linux

Microsoft has released an emergency patch for a high-severity vulnerability in its ASP.NET Core framework, affecting macOS and Linux applications. Tracked as CVE-2026-40372, the flaw allows unauthenticated attackers to gain SYSTEM privileges through forged authentication payloads. The company advises immediate updates and key rotation to fully mitigate risks.

New dirty frag exploit grants root access on linux systems

من إعداد الذكاء الاصطناعي

A security researcher has disclosed Dirty Frag, a new Linux kernel exploit that allows local users to gain root privileges. The flaw affects major distributions and remains unpatched on most systems despite earlier fixes for a similar issue.

05 مايو 2026 17:44

US government issues urgent CopyFail warning as Linux patches roll out

05 مايو 2026 12:10

Daemon Tools app hit by monthlong supply-chain attack

12 مارس 2026 22:40

US and Europe disrupt SocksEscort proxy network

11 مارس 2026 07:15

14,000 Asus routers infected by takedown-resistant KadNap malware

09 مارس 2026 15:31

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

23 فبراير 2026 08:01

Malicious npm packages harvest crypto keys and secrets

19 فبراير 2026 13:36

Researchers uncover new SysUpdate malware variant targeting Linux

18 فبراير 2026 23:37

New SysUpdate malware variant targets Linux systems

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

10 فبراير 2026 10:59

BeyondTrust RCE flaw enables code execution without login

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض