React2Shell получила 10/10 по CVSS. Китайские хакеры — 10/10 по скорости: атаковали через часы после раскрытия
NewsMakerКритическая уязвимость уже в арсенале известных групп, вопрос в том, сколько проектов заметит это слишком поздно.
Две хакерские группировки, связанные с Китаем, начали использовать критическую уязвимость в React Server Components буквально через несколько часов после того, как о ней стало известно публично. Речь идет о баге CVE-2025-55182 с максимальным баллом 10, который в сообществе уже прозвали React2Shell и который позволяет удаленно выполнять произвольный код без какой-либо аутентификации на уязвимом сервере. Проблема уже исправлена в React версий 19.0.1, 19.1.2 и 19.2.1, однако не обновленные проекты остаются легкой добычей для атакующих.
По данным отчета Amazon Web Services, попытки эксплуатации React2Shell были замечены в инфраструктуре ловушек AWS MadPot. Логи показали активность хакеров с IP-адресов и серверов, которые раньше уже связывали с государственными группами из Китая. В числе задействованных акторов аналитики выделяют две кампании, получившие названия Earth Lamia и Jackpot Panda.
Earth Lamia описывается как группа с китайской привязкой, которую ранее обвиняли в эксплуатации критической уязвимости в SAP NetWeaver ( CVE-2025-31324 ). Ее интересы не ограничиваются одной отраслью: под прицел попадали финансовые организации, логистические компании, розничный бизнес, IT-сектор, университеты и государственные структуры в Латинской Америке, на Ближнем Востоке и в странах Юго-Восточной Азии.
Вторая группа, Jackpot Panda, традиционно охотится за компаниями, которые работают с онлайн-гемблингом или обслуживают этот рынок в Восточной и Юго-Восточной Азии. По данным CrowdStrike, она активна как минимум с 2020 года и любит заходить в сети жертв через доверенные третьи стороны, используя компрометированные партнерские цепочки для установки вредоносных имплантов и получения первоначального доступа.
Две хакерские группировки, связанные с Китаем, начали использовать критическую уязвимость в React Server Components буквально через несколько часов после того, как о ней стало известно публично. Речь идет о баге CVE-2025-55182 с максимальным баллом 10, который в сообществе уже прозвали React2Shell и который позволяет удаленно выполнять произвольный код без какой-либо аутентификации на уязвимом сервере. Проблема уже исправлена в React версий 19.0.1, 19.1.2 и 19.2.1, однако не обновленные проекты остаются легкой добычей для атакующих.
По данным отчета Amazon Web Services, попытки эксплуатации React2Shell были замечены в инфраструктуре ловушек AWS MadPot. Логи показали активность хакеров с IP-адресов и серверов, которые раньше уже связывали с государственными группами из Китая. В числе задействованных акторов аналитики выделяют две кампании, получившие названия Earth Lamia и Jackpot Panda.
Earth Lamia описывается как группа с китайской привязкой, которую ранее обвиняли в эксплуатации критической уязвимости в SAP NetWeaver ( CVE-2025-31324 ). Ее интересы не ограничиваются одной отраслью: под прицел попадали финансовые организации, логистические компании, розничный бизнес, IT-сектор, университеты и государственные структуры в Латинской Америке, на Ближнем Востоке и в странах Юго-Восточной Азии.
Вторая группа, Jackpot Panda, традиционно охотится за компаниями, которые работают с онлайн-гемблингом или обслуживают этот рынок в Восточной и Юго-Восточной Азии. По данным CrowdStrike, она активна как минимум с 2020 года и любит заходить в сети жертв через доверенные третьи стороны, используя компрометированные партнерские цепочки для установки вредоносных имплантов и получения первоначального доступа.