Det pågående utnyttjandet av React2Shell-sårbarheten (CVE-2025-55182)—tidigare beskrivet i rapportering om China-nexus- och cyberbrottskampanjer—innefattar nu utbredda Linux-bakdörrsinstallationer, godtycklig kommandokörning och storskalig stöld av molnuppgifter.
Efter tidigare rapporter om PeerBlight och efterföljande attacker från grupper som UNC6600, UNC6586, UNC6588, UNC6603 samt finansiellt motiverade aktörer som distribuerar skadlig kod som MINOCAT, SNOWLIGHT, HISONIC, COMPOOD, ANGRYREBEL.LINUX och XMRig-gruvor bekräftar cybersäkerhetsforskare aktiv, storskalig utnyttjande av React2Shell (CVE-2025-55182).
Attackörer fortsätter att utnyttja denna kritiska RCE-brist (CVSS 10.0, påverkar React 19.0–19.2.0) för att installera bakdörrar på Linux-system, köra godtyckliga kommandon och rikta in molnuppgifter för stöld.
Trots att patchar finns tillgängliga (React 19.0.1, 19.1.2, 19.2.1+), understryker de ihållande hoten behovet av att administratörer tillämpar åtgärder som Cloud Armor WAF, övervakar IOC från tidigare rapportering och säkrar React/Next.js-applikationer mitt i mjukvaruleveranskedjerisker.
