Les exploitations de React2Shell se poursuivent avec des déploiements à grande échelle de backdoors Linux et vol de credentials cloud

S'appuyant sur les attaques précédentes de PeerBlight, Google Threat Intelligence rapporte l'exploitation de la vulnérabilité React2Shell (CVE-2025-55182) par des clusters liés à la Chine et des acteurs motivés financièrement déployant des backdoors et des mineurs de cryptomonnaies sur des systèmes React et Next.js vulnérables.

10 décembre 2025 Rapporté par l'IA

Une vulnérabilité critique dans React Server Components, connue sous le nom de React2Shell et suivie sous CVE-2025-55182, est activement exploitée pour déployer une nouvelle backdoor Linux appelée PeerBlight. Ce malware transforme les serveurs compromis en nœuds proxy et de commande et contrôle discrets. Les attaquants utilisent une seule requête HTTP conçue pour exécuter du code arbitraire sur des applications Next.js et React vulnérables.

À la conférence NDSS 2025, Hengkai Ye et Hong Hu de The Pennsylvania State University ont présenté un article sur des vulnérabilités subtiles dans les systèmes Linux qui réintroduisent des piles exécutables. Leur travail met en lumière comment les développeurs, y compris les experts en sécurité, désactivent accidentellement les protections contre les attaques par injection de code. L'étude examine les outils et composants système pour révéler les lacunes dans l'application des politiques écriture-xor-exécution.

14 janvier 2026 Rapporté par l'IA

Des chercheurs en sécurité de Check Point ont mis au jour VoidLink, un nouveau framework de malware Linux sophistiqué conçu pour cibler les infrastructures cloud. Écrit en Zig et lié à des développeurs chinois, il comporte plus de 30 plugins pour une reconnaissance furtive, le vol de credentials et le mouvement latéral. Aucune infection réelle n'a été observée à ce jour, mais ses capacités signalent une menace croissante pour les environnements cloud d'entreprise.

Des cybercriminels ont compromis des applications Linux fiables sur le Snap Store en s'emparant de domaines expirés, leur permettant de diffuser un malware qui vole les phrases de récupération de cryptomonnaies. Des experts en sécurité de SlowMist et le contributeur Ubuntu Alan Pope ont mis en lumière l'attaque, qui vise des comptes d'éditeurs établis pour distribuer des mises à jour malveillantes usurpant des portefeuilles populaires. Canonical a supprimé les snaps affectés, mais les appels à des sauvegardes plus solides persistent.

9 janvier 2026 Rapporté par l'IA

Une chercheuse en sécurité a découvert que les bugs dans le noyau Linux restent souvent indétectés pendant plus de deux ans en moyenne, certains persistant plus de deux décennies. En analysant 20 ans de développement du noyau, Jenny Guanni Qu a mis en lumière comment ces failles affectent discrètement les systèmes cloud, les entreprises et des milliards d'appareils. Son travail souligne les défis du maintien de logiciels open source sécurisés.