Kiemelten veszélyeztetett rendszerek
A sérülékenység leginkább a React 19.0, 19.1.0, 19.1.1 és 19.2.0 verzióit érinti – ezek mind az elmúlt évben jelentek meg. Különösen veszélyeztetettek az olyan népszerű fejlesztői könyvtárakat használó rendszerek, mint a react-server-dom-parcel, a react-server-dom-turbopack és a react-server-dom-webpack, amelyek alapértelmezett beállításai sebezhetővé teszik őket.
Kínai állami hackerek és más támadók
A támadások során a Palo Alto Networks tucatnyi szervezet feltörését azonosította, köztük olyat is, ahol kínai állami támogatású hackerek jutottak érzékeny adatokhoz és AWS-hozzáférési adatokhoz. Az AWS csapata megerősítette, hogy a Kínához köthető Earth Lamia és Jackpot Panda csoportok szinte azonnal kihasználták az újonnan nyilvánosságra hozott sebezhetőséget.
Öt újabb kínai csoport a támadók között
A Google szombaton jelentette be, hogy az UNC6600, UNC6586, UNC6588, UNC6603 és UNC6595 is csatlakoztak a támadókhoz. Ezek speciális, jól ismert kémprogramokat (például MINOCAT, SNOWLIGHT, ANGRYREBEL.LINUX) vetnek be a célpontok ellen.
Egyre szélesebb a támadási hullám
A sebezhetőség rendkívül gyors terjedését igazolja, hogy a Shadowserver internetes figyelőcsoport több mint 116 000 veszélyeztetett IP-címet azonosított világszerte, ebből legalább 80 000 az Egyesült Államokban található. Az elmúlt 24 órában a GreyNoise számos kísérletet észlelt a világ minden tájáról: különösen az USA-ból, Indiából, Franciaországból, Németországból és Kínából.
Növekvő szervezett és pénzügyi érdekek
A Google nyomozása során kiderült, hogy nemcsak állami hátterű, hanem iráni és anyagi haszonra törekvő csoportok is célba vették a hibát – utóbbiak rejtett kriptobányász programokat (XMRig) telepítenek a frissítetlen rendszerekre. Az online fórumokon a támadók már nyíltan megosztják a sebezhetőség kihasználását segítő kódokat és eszközöket.
