Китайские шпионы, иранские хакеры и майнеры: кто и как уже ломает ваши серверы через дыру в React
NewsMakerGoogle фиксирует волну атак на React с бэкдорами и инструментами туннелирования.
Критическая уязвимость в популярной JavaScript-библиотеке React, получившая имя React2Shell, уже стала массово использоваться в атаках: по данным Google, к эксплуатации подключились как минимум пять новых китайских шпионских групп, «иранские» злоумышленники и обычные киберпреступники. Проблема отслеживается как CVE-2025-55182 и позволяет неаутентифицированному атакующему удаленно выполнить код на уязвимой системе — а значит, быстро превратить сервер в точку входа для бэкдоров, туннелеров и майнеров криптовалюты .
Разработчики React раскрыли баг 3 декабря, и атаки начались почти сразу. Команда threat intelligence компании Amazon сообщила, что китайские государственные группы , включая Earth Lamia и Jackpot Panda, начали «простукивать» уязвимость в считанные часы после публикации. По оценке реагирования Unit 42 из Palo Alto Networks, пострадавших уже больше 50 организаций из разных отраслей, при этом в эксплуатации засветились и атакующие из Северной Кореи.
Google добавляет, что помимо уже известных игроков React2Shell активно применяют как минимум пять дополнительных групп, которые компания связывает с КНР. Отдельно упоминаются и финансово мотивированные злоумышленники, которые после взлома разворачивают XMRig для нелегального майнинга, а также «актеры с иранской привязкой» — без уточнения, кто именно они и что делают после проникновения.
Исследователи Google также отмечают оживление на подпольных форумах вокруг CVE-2025-55182 : там обсуждают уязвимость, делятся ссылками на сканеры, proof-of-concept-кодом и опытом успешной эксплуатации. На практике это выливается в довольно типичный для «горячих» дыр сценарий: как только появляется рабочий инструментарий, его подхватывают разные группы — от шпионских до чисто криминальных.
Критическая уязвимость в популярной JavaScript-библиотеке React, получившая имя React2Shell, уже стала массово использоваться в атаках: по данным Google, к эксплуатации подключились как минимум пять новых китайских шпионских групп, «иранские» злоумышленники и обычные киберпреступники. Проблема отслеживается как CVE-2025-55182 и позволяет неаутентифицированному атакующему удаленно выполнить код на уязвимой системе — а значит, быстро превратить сервер в точку входа для бэкдоров, туннелеров и майнеров криптовалюты .
Разработчики React раскрыли баг 3 декабря, и атаки начались почти сразу. Команда threat intelligence компании Amazon сообщила, что китайские государственные группы , включая Earth Lamia и Jackpot Panda, начали «простукивать» уязвимость в считанные часы после публикации. По оценке реагирования Unit 42 из Palo Alto Networks, пострадавших уже больше 50 организаций из разных отраслей, при этом в эксплуатации засветились и атакующие из Северной Кореи.
Google добавляет, что помимо уже известных игроков React2Shell активно применяют как минимум пять дополнительных групп, которые компания связывает с КНР. Отдельно упоминаются и финансово мотивированные злоумышленники, которые после взлома разворачивают XMRig для нелегального майнинга, а также «актеры с иранской привязкой» — без уточнения, кто именно они и что делают после проникновения.
Исследователи Google также отмечают оживление на подпольных форумах вокруг CVE-2025-55182 : там обсуждают уязвимость, делятся ссылками на сканеры, proof-of-concept-кодом и опытом успешной эксплуатации. На практике это выливается в довольно типичный для «горячих» дыр сценарий: как только появляется рабочий инструментарий, его подхватывают разные группы — от шпионских до чисто криминальных.