ثغرة حرجة في React Server Components، المعروفة باسم React2Shell ومسجلة بـ CVE-2025-55182، يتم استغلالها بنشاط لنشر باب خلفي جديد للينكس يُدعى PeerBlight. هذا البرمجيات الضارة تحول الخوادم المتضررة إلى عقد وكيل ومركز قيادة وتحكم سرية. يستخدم المهاجمون طلب HTTP مصمم واحدًا لتنفيذ كود تعسفي على تطبيقات Next.js وReact الضعيفة.
تنشأ ثغرة React2Shell من مشكلة في إلغاء التسلسل غير الآمن في كيفية تعامل React Server Components مع "chunks" React Flight. يمكن لمهاجم غير مصدق حقن منطق ضار من خلال كائن "thenable" مصمم خصيصًا، مما يجبر الخادم على تنفيذ JavaScript تعسفي أثناء التصيير من جانب الخادم. تؤثر هذه الثغرة على عدة إصدارات من حزمة react-server-dom وقد لوحظت في هجمات على تطبيقات Next.js المعرضة للإنترنت، غالبًا ما تبدأ بأوامر curl أو wget بسيطة لجلب نصوص shell و payloads ELF.
لاحظ الباحثون في الأمن مسحًا نشطًا باستخدام ماسح React2Shell المتاح علنًا، يمكن التعرف عليه من خلال User-Agent الافتراضي في السجلات. وقد حدث الاستغلال في البرية، مما يمكن من أنشطة تالية مثل توزيع البرمجيات الضارة وتعدين العملات المشفرة وآليات الاستمرارية.
بمجرد الدخول، ينشر المهاجمون PeerBlight، باب خلفي متقدم للينكس مع هيكل قيادة وتحكم (C2) متعدد الطبقات. يتصل أولاً بخادم C2 مشفر في 185.247.224.41:8443، متفاوضًا على مفاتيح جلسة AES-256 من خلال مصافحات مشفرة بـ RSA. يرسل البرمجيات الضارة إشارات JSON تفصل في بنية الجهاز المضيف ونظام التشغيل ومعرف مجموعة الحملة. إذا فشل C2 الأساسي، يلجأ إلى خوارزمية توليد نطاقات (DGA) التي تنشئ حتى 200 زوج نطاق-منفذ، وفي النهاية تستفيد من شبكة BitTorrent DHT مع بادئة ID عقدة مميزة “LOLlolLOL” لاكتشاف C2 من نظير إلى نظير.
للاستمرارية والتخفي، ينسخ PeerBlight نفسه إلى /bin/systemd-daemon ويسجل كـ systemd-agent على أنظمة تستخدم systemd، أو يسقط وظيفة Upstart على التوزيعات القديمة. يعيد كتابة argv وأسماء العمليات ليحاكي خيط kernel [ksoftirqd]، متجنبًا الكشف في قوائم العمليات.
يتعامل الباب الخلفي مع ما لا يقل عن 10 أنواع أوامر قائمة على JSON، بما في ذلك تحميل وتنزيل الملفات، إنشاء reverse-shell، تعديل الصلاحيات، تنفيذ ثنائيات تعسفية، وترقيات في الذاكرة. تحول هذه الإعداد المضيفين المصابين إلى عقد وكيل مرنة للاقتحامات الإضافية والحركة الجانبية.
قد قدمت نفس الحملة أيضًا أدوات مثل CowTunnel (وكيل عكسي قائم على xfrpc)، ZinFoq (زرع Go مع pivoting SOCKS5 و timestomping)، تعدين XMRig، ومتغير botnet Kaiji لوظائف DDoS و watchdog. يُنصح المنظمات التي تستخدم React Server Components أو Next.js الضعيفة بتطبيق التصحيحات فورًا ومراقبة مؤشرات PeerBlight، مثل ثنائياتها، ملفات systemd-agent، عقد DHT LOLlolLOL، والحركة المرورية إلى نقاط نهاية C2 المعروفة.
