Uma vulnerabilidade crítica nos React Server Components, conhecida como React2Shell e rastreada como CVE-2025-55182, está sendo explorada ativamente para implantar uma nova backdoor Linux chamada PeerBlight. Este malware transforma servidores comprometidos em nós proxy e de comando e controle ocultos. Atacantes usam um único pedido HTTP elaborado para executar código arbitrário em aplicações Next.js e React vulneráveis.
A vulnerabilidade React2Shell surge de um problema de desserialização insegura na forma como os React Server Components lidam com “chunks” do React Flight. Um atacante não autenticado pode injetar lógica maliciosa através de um objeto “thenable” especialmente criado, forçando o servidor a executar JavaScript arbitrário durante a renderização do lado do servidor. Esta falha afeta várias versões do pacote react-server-dom e foi observada em ataques a aplicações Next.js expostas na internet, frequentemente iniciados com comandos curl ou wget simples para buscar scripts shell e payloads ELF.
Pesquisadores de segurança notaram varreduras ativas usando um scanner React2Shell disponível publicamente, identificável pelo seu User-Agent padrão nos logs. A exploração ocorreu na natureza, permitindo atividades subsequentes como entrega de malware, mineração de cripto e mecanismos de persistência.
Uma vez dentro, os atacantes implantam PeerBlight, uma backdoor Linux sofisticada com estrutura de comando e controle (C2) multicamadas. Inicialmente conecta-se a um servidor C2 hardcoded em 185.247.224.41:8443, negociando chaves de sessão AES-256 através de handshakes criptografados RSA. O malware envia beacons JSON detalhando a arquitetura do host, sistema operacional e identificador de grupo de campanha. Se o C2 primário falhar, recorre a um algoritmo de geração de domínios (DGA) que cria até 200 pares domínio-porta, e por fim aproveita a rede BitTorrent DHT com um prefixo de ID de nó distinto “LOLlolLOL” para descoberta C2 peer-to-peer.
Para persistência e furtividade, PeerBlight copia-se para /bin/systemd-daemon e registra-se como systemd-agent em sistemas usando systemd, ou solta um job Upstart em distribuições antigas. Sobrescreve argv e nomes de processos para imitar uma thread do kernel [ksoftirqd], evadindo detecção em listas de processos.
A backdoor lida com pelo menos 10 tipos de comandos baseados em JSON, incluindo uploads e downloads de arquivos, spawn de reverse-shell, modificações de permissões, execução de binários arbitrários e upgrades em memória. Esta configuração transforma hosts infectados em nós proxy resilientes para intrusões adicionais e movimento lateral.
A mesma campanha também introduziu ferramentas como CowTunnel (um reverse-proxy baseado em xfrpc), ZinFoq (um implante Go com pivoteamento SOCKS5 e timestomping), mineradores XMRig e uma variante do botnet Kaiji para funções DDoS e watchdog. Organizações usando React Server Components ou Next.js vulneráveis devem aplicar patches imediatamente e monitorar indicadores de PeerBlight, como seus binários, arquivos systemd-agent, nós DHT LOLlolLOL e tráfego para endpoints C2 conhecidos.
