Майнинг на тостере и 150000 атак — вот как умный дом тайком расходует ваше электричество
NewsMakerНовая уязвимость React2Shell в Node.js уже превратила умные дома и серверы по всему миру в охотничьи угодья для ботнетов в стиле Mirai.
Новая уязвимость в Node.js, получившая идентификатор CVE-2025-55182 и неофициальное название React2Shell , за считанные дни стала популярным инструментом для ботнетов: операторы массово атакуют уязвимые веб-приложения и IoT-устройства, загружают вредоносные бинарники в стиле Mirai и криптомайнеры, а число заблокированных попыток эксплуатации достигает более 150 тысяч в сутки.
React2Shell затрагивает приложения на Node.js, которые позволяют пользовательскому JSON влиять на внутренние структуры JavaScript-объектов. При недостаточной проверке данных это выливается в удалённое выполнение команд : атакующие получают доступ к process.mainModule.require, а затем — к child_process.execSync и системе в целом. Исследователи отмечают, что эксплойт получается компактным, не требует сложных приёмов и подходит для широкого класса Node.js-приложений, что делает его идеальным кандидатом для массовой автоматизации атак.
По данным телеметрии за последние 30 дней, волна эксплуатации React2Shell выглядит как типичная кампания ботнета. Ежедневно фиксируется свыше 150 000 заблокированных запросов, подпадающих под сигнатуры этой уязвимости. В большинстве срабатываний наблюдаются прямые команды на выполнение через BusyBox, попытки скачать файлы с помощью wget или curl, изменить права доступа через chmod, а также различные приёмы сокрытия — например, вставки с base64-декодированием, призванные обойти простую фильтрацию. Часть запросов ограничивается разведкой и проверкой уязвимости, но значительная доля — это уже готовые полезные нагрузки для загрузки и запуска вредоносного кода.
Заметная часть трафика идёт из дата-центра в Польше: один отдельный IP-адрес породил более 12 000 событий, связанных с React2Shell, параллельно занимаясь сканированием портов и попытками эксплуатации известных уязвимостей в устройствах Hikvision. Такой профиль активности хорошо ложится на поведение ботнетов семейства Mirai и их потомков, где захваченная инфраструктура одновременно используется и для сканирования, и для мультивекторных атак. Дополнительные запросы приходят из США, Нидерландов, Ирландии, Франции, Гонконга, Сингапура, Китая, Панамы и других регионов, что указывает на глобальную и во многом оппортунистическую кампанию: атакующие стреляют по всему интернету в надежде найти уязвимые цели.
Новая уязвимость в Node.js, получившая идентификатор CVE-2025-55182 и неофициальное название React2Shell , за считанные дни стала популярным инструментом для ботнетов: операторы массово атакуют уязвимые веб-приложения и IoT-устройства, загружают вредоносные бинарники в стиле Mirai и криптомайнеры, а число заблокированных попыток эксплуатации достигает более 150 тысяч в сутки.
React2Shell затрагивает приложения на Node.js, которые позволяют пользовательскому JSON влиять на внутренние структуры JavaScript-объектов. При недостаточной проверке данных это выливается в удалённое выполнение команд : атакующие получают доступ к process.mainModule.require, а затем — к child_process.execSync и системе в целом. Исследователи отмечают, что эксплойт получается компактным, не требует сложных приёмов и подходит для широкого класса Node.js-приложений, что делает его идеальным кандидатом для массовой автоматизации атак.
По данным телеметрии за последние 30 дней, волна эксплуатации React2Shell выглядит как типичная кампания ботнета. Ежедневно фиксируется свыше 150 000 заблокированных запросов, подпадающих под сигнатуры этой уязвимости. В большинстве срабатываний наблюдаются прямые команды на выполнение через BusyBox, попытки скачать файлы с помощью wget или curl, изменить права доступа через chmod, а также различные приёмы сокрытия — например, вставки с base64-декодированием, призванные обойти простую фильтрацию. Часть запросов ограничивается разведкой и проверкой уязвимости, но значительная доля — это уже готовые полезные нагрузки для загрузки и запуска вредоносного кода.
Заметная часть трафика идёт из дата-центра в Польше: один отдельный IP-адрес породил более 12 000 событий, связанных с React2Shell, параллельно занимаясь сканированием портов и попытками эксплуатации известных уязвимостей в устройствах Hikvision. Такой профиль активности хорошо ложится на поведение ботнетов семейства Mirai и их потомков, где захваченная инфраструктура одновременно используется и для сканирования, и для мультивекторных атак. Дополнительные запросы приходят из США, Нидерландов, Ирландии, Франции, Гонконга, Сингапура, Китая, Панамы и других регионов, что указывает на глобальную и во многом оппортунистическую кампанию: атакующие стреляют по всему интернету в надежде найти уязвимые цели.