React2Shell. Как критическая уязвимость стала инструментом массовых атак

Си­туация вок­руг кри­тичес­кой уяз­вимос­ти React2Shell раз­вивалась стре­митель­но. В кон­це декаб­ря 2025 года ИБ‑спе­циалис­ты уже зафик­сирова­ли ата­ки на рос­сий­ские ком­пании, а по информа­ции Google, проб­лему при­меня­ли все боль­ше китай­ских и иран­ских груп­пировок, а так­же вымога­тели.

Что такое React2Shell и почему это серьезно

React2Shell (CVE-2025-55182) — кри­тичес­кая уяз­вимость в популяр­ной JavaScript-биб­лиоте­ке React ком­пании Meta (деятель­ность ком­пании приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии), пуб­лично рас­кры­тая в начале декаб­ря 2025 года.

Проб­лема получи­ла мак­сималь­ные 10 бал­лов из 10 воз­можных по шка­ле CVSS — такая оцен­ка встре­чает­ся нечас­то и говорит о край­ней высокой опас­ности бага. Суть уяз­вимос­ти зак­люча­ется в небезо­пас­ной десери­али­зации дан­ных в React Server Components, что поз­воля­ет уда­лен­но выпол­нить код на сер­вере, исполь­зуя обыч­ный HTTP-зап­рос. Для ата­ки не нуж­на аутен­тифика­ция, при­виле­гии или слож­ные усло­вия — дос­таточ­но отпра­вить спе­циаль­но сфор­мирован­ный зап­рос.

Баг зат­рагива­ет вер­сии React 19.0, 19.1.0, 19.1.1 и 19.2.0 в кон­фигура­циях по умол­чанию, а так­же популяр­ный фрей­мворк Next.js.

React — одна из самых рас­простра­нен­ных биб­лиотек для соз­дания поль­зователь­ских интерфей­сов, ее исполь­зуют мил­лионы сай­тов и веб‑при­ложе­ний по все­му миру. Имен­но мас­совость при­мене­ния прев­ратила локаль­ную тех­ничес­кую проб­лему в гло­баль­ную угро­зу.

Ис­прав­ления для CVE-2025-55182 выш­ли в сос­таве вер­сий React 19.0.1, 19.1.2 и 19.2.1, а так­же для зат­ронутых релизов Next.js. Ком­пания Vercel, сто­ящая за соз­дани­ем Next.js, даже попыта­лась прис­воить сво­ей уяз­вимос­ти отдель­ный иден­тифика­тор CVE-2025-66478, но NIST откло­нил его как дуб­ликат.

При этом ИБ‑экспер­ты сра­зу пре­дуп­режда­ли, что ана­логич­ные проб­лемы могут при­сутс­тво­вать и в дру­гих биб­лиоте­ках с импле­мен­таци­ями React Server, вклю­чая: Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK и Waku.

Вско­ре пос­ле обна­родо­вания информа­ции об уяз­вимос­ти ее начали экс­плу­ати­ровать китай­ские хак‑груп­пы Earth Lamia и Jackpot Panda, а так­же северо­корей­ская груп­пиров­ка Lazarus. От этих атак еще в начале декаб­ря пос­тра­дали не менее 30 орга­низа­ций. Но это ока­залось толь­ко началом.

Атаки на российские компании

В середи­не декаб­ря ста­ло извес­тно, что с помощью React2Shell уже ата­куют рос­сий­ские ком­пании. Пер­вые три ата­ки на рос­сий­ский биз­нес с при­мене­нием React2Shell за­фик­сирова­ли спе­циалис­ты ком­пании BI.ZONE.

По их информа­ции, под удар попали неназ­ванная стра­ховая ком­пания, ритей­лер авто­зап­частей и ИТ‑ком­пания, работа­ющая с госор­ганами. Во всех слу­чаях целью атак была уста­нов­ка май­нера XMRig, пред­назна­чен­ного для добычи крип­товалю­ты Monero за счет ресур­сов ском­про­мети­рован­ных машин.

В ходе одной из атак зло­умыш­ленни­ки так­же пытались раз­вернуть на заражен­ных машинах бот­неты Kaiji и RustoBot, исполь­зуемые для DDoS-атак и прок­сирова­ния тра­фика.

Пос­коль­ку пос­тра­дав­шие орга­низа­ции отно­сят­ся к раз­ным отраслям, это сви­детель­ству­ет о мас­совом харак­тере экс­плу­ата­ции — ата­кующие не выбира­ют цели точеч­но, а ска­ниру­ют все под­ряд в поис­ках уяз­вимых сер­веров.

Массовая эксплуатация и новая малварь

Мас­шта­бы проб­лемы в целом ока­зались серь­езнее, чем пред­полага­лось изна­чаль­но. Из‑за это­го Агентство по кибер­безопас­ности и защите инфраструк­туры США (CISA), которое пер­воначаль­но давало федераль­ным ведомс­твам срок до 26 декаб­ря 2025 года на уста­нов­ку пат­чей, затем сок­ратило дед­лайн до 12 декаб­ря.

По дан­ным «Ла­бора­тории Кас­пер­ско­го», уже по сос­тоянию на 10 декаб­ря было зафик­сирова­но более 35 000 попыток экс­плу­ата­ции CVE-2025-55182. Ата­кующие раз­ворачи­вали в сетях жертв май­неры, бот­неты Mirai/Gafgyt и RondoDox, маяки Cobalt Strike, Sliver, Go-бэк­доры с воз­можнос­тями реверс‑шел­ла и раз­ведки. Некото­рые зло­умыш­ленни­ки так­же исполь­зовали инс­тру­мен­ты TruffleHog и Gitleaks для сбо­ра сек­ретов из репози­тори­ев.

Кро­ме того, ана­лити­ки из ком­пании Huntress выяви­ли ранее неиз­вес­тные образцы мал­вари, для рас­простра­нения которых при­меня­лась React2Shell. В час­тнос­ти, были най­дены:

• Linux-бэк­дор PeerBlight (код которо­го явно пересе­кает­ся с мал­варью RotaJakiro и Pink);
• об­ратный прок­си‑сер­вер CowTunnel;
• пост‑экс­плу­ата­цион­ный фрей­мворк ZinFoq, написан­ный на Go;
• скрип­ты‑заг­рузчи­ки d5.sh и fn22.sh, отве­чающие за раз­верты­вание Sliver C2;
• а так­же wocaosinm.sh — вари­ация мал­вари Kaiji, пред­назна­чен­ной для DDoS-атак.

Раз­нооб­разие исполь­зуемых инс­тру­мен­тов говорит о том, что React2Shell быс­тро ста­ла популяр­ным век­тором атак сре­ди самых раз­ных груп­пировок — от низ­коква­лифи­циро­ван­ных опе­рато­ров крип­томай­неров до про­фес­сиональ­ных команд с кас­томны­ми раз­работ­ками.

«Правительственные» хакеры

Вско­ре экспер­ты Google Threat Intelligence Group (GTIG) свя­зали экс­плу­ата­цию React2Shell как минимум с пятью китай­ски­ми APT-груп­пиров­ками.

По дан­ным ана­лити­ков, UNC6600 дос­тавля­ла с помощью уяз­вимос­ти инс­тру­мент для тун­нелиро­вания MINOCAT, UNC6586 — заг­рузчик SNOWLIGHT, UNC6588 — бэк­дор COMPOOD, UNC6603 — обновлен­ную вер­сию бэк­дора HISONIC, а UNC6595 — Linux-вер­сию тро­яна ANGRYREBEL.

По­мимо китай­ских групп, была замече­на активность иран­ских хакеров, которые экс­плу­ати­рова­ли React2Shell для май­нин­га пос­редс­твом XMRig.

В свою оче­редь, спе­циалис­ты ком­пании Microsoft со­общи­ли, что уже ском­про­мети­рова­ны нес­коль­ко сотен машин раз­ных орга­низа­ций. По их сло­вам, зло­умыш­ленни­ки при­меня­ют CVE-2025-55182, а так­же инс­тру­мен­ты TruffleHog и Gitleaks и кас­томные скрип­ты для поис­ка и хищения раз­личных сек­ретов, а так­же кра­жи учет­ных дан­ных AWS, токенов Azure, API-клю­чей OpenAI и учет­ных дан­ных Kubernetes.

Вымогатели и Linux-бэкдоры

Бли­же к кон­цу месяца иссле­дова­тели из ком­пании S-RM пре­дуп­редили, что еще 5 декаб­ря 2025 года они зафик­сирова­ли ата­ку вымога­теля Weaxor, который экс­плу­ати­ровал React2Shell.

От взло­ма до раз­верты­вания шиф­роваль­щика прош­ло мень­ше минуты: хакеры выпол­нили обфусци­рован­ную PowerShell-коман­ду, раз­верну­ли Cobalt Strike, отклю­чили Windows Defender и запус­тили мал­варь. При этом боковое переме­щение по сети жер­твы ата­кующие не осу­щест­вля­ли — инци­дент огра­ничил­ся лишь одним пос­тра­дав­шим хос­том.

Прак­тичес­ки одновре­мен­но с этим экспер­ты Palo Alto Networks и NTT Security опи­сали вре­донос­ные кам­пании по рас­простра­нению Linux-бэк­доров KSwapDoor и ZnDoor, в которых так­же при­меня­лась уяз­вимость React2Shell.

По сло­вам иссле­дова­телей, KSwapDoor пред­став­ляет собой про­фес­сиональ­но раз­работан­ный RAT, соз­дающий внут­реннюю mesh-сеть меж­ду ском­про­мети­рован­ными сер­верами, исполь­зующий «шиф­рование воен­ного уров­ня» и име­ющий спе­циаль­ный спя­щий режим, пред­назна­чен­ный для обхо­да защит­ных решений.

ZnDoor, впер­вые обна­ружен­ный еще в ата­ках на япон­ские орга­низа­ции в декаб­ре 2023 года, пре­дос­тавля­ет сво­им опе­рато­рам инте­рак­тивный шелл, воз­можность выпол­нения фай­ловых опе­раций, раз­верты­вания SOCKS5-прок­си и изме­нения timestamps.

Другие уязвимости в React

По­ка зло­умыш­ленни­ки были заняты экс­плу­ата­цией React2Shell, иссле­дова­тели обна­ружи­ли еще три уяз­вимос­ти в React Server Components — CVE-2025-55184, CVE-2025-67779 и CVE-2025-55183.
Пер­вые две проб­лемы были свя­заны с небезо­пас­ной десери­али­заци­ей дан­ных из HTTP-зап­росов и при­водят к отка­зу в обслу­жива­нии (DoS) через бес­конеч­ный цикл, который в ито­ге «веша­ет» сер­верный про­цесс. Третья уяз­вимость при­водит к утеч­ке исходно­го кода любых Server Function при спе­циаль­но сфор­мирован­ном HTTP-зап­росе.

Раз­работ­чики React объ­ясни­ли обна­руже­ние новых проб­лем, заявив, что это стан­дар­тная для индус­трии прак­тика: пос­ле рас­кры­тия кри­тичес­кой уяз­вимос­ти иссле­дова­тели про­веря­ют сосед­ние учас­тки кода на пред­мет обхо­да пер­воначаль­ных исправ­лений.

Пат­чи для трех новых багов выш­ли в вер­сиях 19.0.3, 19.1.4 и 19.2.3.

Эти наход­ки наг­лядно иллюс­три­руют, что проб­лемы в React Server Components могут быть более глу­боки­ми, чем казалось изна­чаль­но. И хотя новые баги не так опас­ны, как React2Shell, они под­твержда­ют необ­ходимость про­веде­ния тща­тель­ного ауди­та кода и опе­ратив­ного обновле­ния биб­лиотек.

Немного статистики

По сос­тоянию на конец декаб­ря 2025 года спе­циалис­ты Shadowserver отсле­жива­ли око­ло 110 000 IP-адре­сов, уяз­вимых для атак React2Shell, более 80 000 из которых находи­лись в США, а более 1000 — в Рос­сии.

В свою оче­редь, экспер­ты ком­пании VulnCheck нас­читали в сети более 140 пуб­личных PoC-экс­пло­итов для React2Shell, при­мер­но полови­на из которых дей­стви­тель­но работа­ет, а осталь­ные либо сло­маны, либо намерен­но вво­дят иссле­дова­телей в заб­лужде­ние.

По‑нас­тояще­му работа­ющие экс­пло­иты спо­соб­ны заг­ружать in-memory веб‑шел­лы вро­де Godzilla, ска­ниро­вать ресур­сы в поис­ках уяз­вимос­ти, а так­же раз­ворачи­вать лег­ковес­ные WAF для бло­киров­ки вре­донос­ных пей­лоадов.

Не­кото­рые ИБ‑спе­циалис­ты срав­нива­ют React2Shell с нашумев­шей проб­лемой Log4Shell, най­ден­ной в 2021 году, и отме­чают, что новая уяз­вимость тоже соз­дает сис­темные рис­ки для всей индус­трии. Начиная с декаб­ря экс­плу­ата­цию CVE-2025-55182 дей­стви­тель­но мож­но наб­людать одновре­мен­но по все­му спек­тру угроз — от низ­коква­лифи­циро­ван­ных опе­рато­ров крип­томай­неров и Mirai-бот­нетов до про­фес­сиональ­ных пра­витель­ствен­ных груп­пировок.