En kritisk sårbarhet i React Server Components, känd som React2Shell och spårad som CVE-2025-55182, utnyttjas aktivt för att distribuera en ny Linux-bakdörr kallad PeerBlight. Denna malware förvandlar komprometterade servrar till dolda proxy- och kommando- och kontrollnoder. Angripare använder en enda specialdesignad HTTP-förfrågan för att exekvera godtycklig kod på sårbara Next.js- och React-applikationer.
React2Shell-sårbarheten uppstår från ett osäkert deserialiseringsproblem i hur React Server Components hanterar React Flight “chunks”. En icke-autentiserad angripare kan injicera skadlig logik genom en specialdesignad “thenable”-objekt, vilket tvingar servern att exekvera godtycklig JavaScript under server-side rendering. Denna brist påverkar flera versioner av react-server-dom-paketet och har observerats i attacker mot internetexponerade Next.js-applikationer, ofta initierade med enkla curl- eller wget-kommandon för att hämta shell-skript och ELF-payloads.
Säkerhetsforskare har noterat aktiv skanning med en publikt tillgänglig React2Shell-skanner, identifierbar via dess standard User-Agent i loggar. Utnyttjande har skett i det vilda, vilket möjliggör efterföljande aktiviteter som malware-leverans, kryptomining och persistensmekanismer.
När de är inne distribuerar angripare PeerBlight, en sofistikerad Linux-bakdörr med en flerskiktad kommando- och kontrollstruktur (C2). Den ansluter initialt till en hårdkodad C2-server på 185.247.224.41:8443, förhandlar AES-256-sessionsnycklar via RSA-krypterade handskakningar. Malware skickar JSON-beacons som detaljerar värdens arkitektur, operativsystem och en kampanjgruppsidentifierare. Om primär C2 misslyckas använder den en domängenereringsalgoritm (DGA) som skapar upp till 200 domän-portpar, och slutligen utnyttjar BitTorrent DHT-nätverket med ett distinkt nod-ID-prefix “LOLlolLOL” för peer-to-peer C2-upptäckt.
För persistens och stealth kopierar PeerBlight sig själv till /bin/systemd-daemon och registrerar sig som systemd-agent på system som använder systemd, eller släpper en Upstart-job på äldre distributioner. Den skriver över argv och processnamn för att efterlikna en kernel [ksoftirqd]-tråd, undvikande detektering i processlistor.
Bakdörren hanterar minst 10 JSON-baserade kommando-typer, inklusive filuppladdningar och nedladdningar, reverse-shell-spawning, behörighetsändringar, godtycklig binärexekvering och minnesuppgraderingar. Denna konfiguration förvandlar infekterade värdar till resilienta proxy-noder för ytterligare intrång och laterell rörelse.
Samma kampanj har också introducerat verktyg som CowTunnel (en reverse-proxy baserad på xfrpc), ZinFoq (en Go-implantat med SOCKS5-pivoting och timestomping), XMRig kryptominerare och en Kaiji-botnet-variant för DDoS- och watchdog-funktioner. Organisationer som använder sårbara React Server Components eller Next.js uppmanas att tillämpa patchar omedelbart och övervaka PeerBlight-indikatorer, såsom dess binärer, systemd-agent-filer, LOLlolLOL DHT-noder och trafik till kända C2-endpoints.
