Az új React2Shell-hullámhoz sorra csatlakoznak a kínai hackercsoportok

Kiemelten veszélyeztetett rendszerek

A sérülékenység leginkább a React 19.0, 19.1.0, 19.1.1 és 19.2.0 verzióit érinti – ezek mind az elmúlt évben jelentek meg. Különösen veszélyeztetettek az olyan népszerű fejlesztői könyvtárakat használó rendszerek, mint a react-server-dom-parcel, a react-server-dom-turbopack és a react-server-dom-webpack, amelyek alapértelmezett beállításai sebezhetővé teszik őket.

Kínai állami hackerek és más támadók

A támadások során a Palo Alto Networks tucatnyi szervezet feltörését azonosította, köztük olyat is, ahol kínai állami támogatású hackerek jutottak érzékeny adatokhoz és AWS-hozzáférési adatokhoz. Az AWS csapata megerősítette, hogy a Kínához köthető Earth Lamia és Jackpot Panda csoportok szinte azonnal kihasználták az újonnan nyilvánosságra hozott sebezhetőséget.

Öt újabb kínai csoport a támadók között

A Google szombaton jelentette be, hogy az UNC6600, UNC6586, UNC6588, UNC6603 és UNC6595 is csatlakoztak a támadókhoz. Ezek speciális, jól ismert kémprogramokat (például MINOCAT, SNOWLIGHT, ANGRYREBEL.LINUX) vetnek be a célpontok ellen.

Egyre szélesebb a támadási hullám

A sebezhetőség rendkívül gyors terjedését igazolja, hogy a Shadowserver internetes figyelőcsoport több mint 116 000 veszélyeztetett IP-címet azonosított világszerte, ebből legalább 80 000 az Egyesült Államokban található. Az elmúlt 24 órában a GreyNoise számos kísérletet észlelt a világ minden tájáról: különösen az USA-ból, Indiából, Franciaországból, Németországból és Kínából.

Növekvő szervezett és pénzügyi érdekek

A Google nyomozása során kiderült, hogy nemcsak állami hátterű, hanem iráni és anyagi haszonra törekvő csoportok is célba vették a hibát – utóbbiak rejtett kriptobányász programokat (XMRig) telepítenek a frissítetlen rendszerekre. Az online fórumokon a támadók már nyíltan megosztják a sebezhetőség kihasználását segítő kódokat és eszközöket.

2025, adrienne, www.bleepingcomputer.com alapján