Vulnerabilitas kritis di React Server Components, yang dikenal sebagai React2Shell dan dilacak sebagai CVE-2025-55182, sedang dieksploitasi secara aktif untuk menyebarkan backdoor Linux baru bernama PeerBlight. Malware ini mengubah server yang disusupi menjadi node proxy dan command-and-control yang tersembunyi. Penyerang menggunakan satu permintaan HTTP yang dibuat khusus untuk menjalankan kode sewenang-wenang pada aplikasi Next.js dan React yang rentan.
Vulnerabilitas React2Shell muncul dari masalah deserialisasi tidak aman dalam cara React Server Components menangani “chunks” React Flight. Penyerang yang tidak terautentikasi dapat menyuntikkan logika berbahaya melalui objek “thenable” yang dibuat khusus, memaksa server untuk menjalankan JavaScript sewenang-wenang selama rendering sisi server. Kelemahan ini memengaruhi beberapa versi paket react-server-dom dan telah diamati dalam serangan pada aplikasi Next.js yang terpapar internet, sering dimulai dengan perintah curl atau wget sederhana untuk mengambil skrip shell dan payload ELF.
Peneliti keamanan mencatat pemindaian aktif menggunakan pemindai React2Shell yang tersedia secara publik, dapat diidentifikasi oleh User-Agent default di log. Eksploitasi telah terjadi di alam liar, memungkinkan aktivitas lanjutan seperti pengiriman malware, penambangan kripto, dan mekanisme persistensi.
Setelah masuk, penyerang menyebarkan PeerBlight, backdoor Linux canggih dengan struktur command-and-control (C2) berlapis. Awalnya terhubung ke server C2 yang dikode keras di 185.247.224.41:8443, menegosiasikan kunci sesi AES-256 melalui jabat tangan terenkripsi RSA. Malware mengirim beacon JSON yang merinci arsitektur host, sistem operasi, dan pengenal grup kampanye. Jika C2 utama gagal, beralih ke algoritma generasi domain (DGA) yang membuat hingga 200 pasang domain-port, dan akhirnya memanfaatkan jaringan BitTorrent DHT dengan prefiks ID node khas “LOLlolLOL” untuk penemuan C2 peer-to-peer.
Untuk persistensi dan kemunculan, PeerBlight menyalin dirinya ke /bin/systemd-daemon dan mendaftar sebagai systemd-agent pada sistem yang menggunakan systemd, atau menjatuhkan pekerjaan Upstart pada distribusi lama. Ia menimpa argv dan nama proses untuk meniru thread kernel [ksoftirqd], menghindari deteksi dalam daftar proses.
Backdoor menangani setidaknya 10 jenis perintah berbasis JSON, termasuk unggah dan unduh file, spawn reverse-shell, modifikasi izin, eksekusi biner sewenang-wenang, dan upgrade di memori. Pengaturan ini mengubah host terinfeksi menjadi node proxy tangguh untuk intrusi lebih lanjut dan pergerakan lateral.
Kampanye yang sama juga memperkenalkan alat seperti CowTunnel (reverse-proxy berbasis xfrpc), ZinFoq (implan Go dengan pivoting SOCKS5 dan timestomping), penambang XMRig, dan varian botnet Kaiji untuk fungsi DDoS dan pengawas. Organisasi yang menggunakan React Server Components atau Next.js rentan disarankan menerapkan patch segera dan memantau indikator PeerBlight, seperti binerannya, file systemd-agent, node DHT LOLlolLOL, dan lalu lintas ke endpoint C2 yang diketahui.
