L'exploitation en cours de la vulnérabilité React2Shell (CVE-2025-55182)—détaillée précédemment dans la couverture des campagnes China-nexus et cybercriminelles—inclut maintenant des installations étendues de backdoors Linux, l'exécution de commandes arbitraires et le vol à grande échelle de credentials cloud.
À la suite de rapports antérieurs sur PeerBlight et d'attaques ultérieures par des groupes tels que UNC6600, UNC6586, UNC6588, UNC6603, et des acteurs motivés financièrement déployant des malwares comme MINOCAT, SNOWLIGHT, HISONIC, COMPOOD, ANGRYREBEL.LINUX et mineurs XMRig, les chercheurs en cybersécurité confirment une exploitation active et à grande échelle de React2Shell (CVE-2025-55182).
Les attaquants continuent d'exploiter cette faille RCE critique (CVSS 10.0, affectant React 19.0–19.2.0) pour installer des backdoors sur des systèmes Linux, exécuter des commandes arbitraires et cibler les credentials cloud en vue de leur vol.
Bien que des correctifs soient disponibles (React 19.0.1, 19.1.2, 19.2.1+), les menaces persistantes soulignent la nécessité pour les administrateurs d'appliquer des mesures d'atténuation telles que Cloud Armor WAF, de surveiller les IOC des couvertures antérieures et de sécuriser les applications React/Next.js face aux risques de chaîne d'approvisionnement logiciel.
