React2Shell Exploitation Delivers Crypto Miners and New Malware Across Multiple Sectors

Exploitation de React2Shell : Minerai de cryptomonnaie et nouvelles menaces

La faille de sécurité critique CVE-2025-55182, affectant les React Server Components (RSC), est activement exploitée pour déployer des mineurs de cryptomonnaie et diverses familles de logiciels malveillants, dont certaines inédites. Cette vulnérabilité permet une exécution de code à distance non authentifiée et touche de nombreux secteurs, particulièrement la construction et le divertissement.

Les attaques observées suggèrent l’utilisation d’outils d’exploitation automatisés, ciblant indifféremment Windows et Linux. Des scripts permettent de télécharger et d’exécuter des mineurs de cryptomonnaie comme XMRig, et d’installer des malwares plus sophistiqués.

Points clés :

• Vulnérabilité principale : CVE-2025-55182 dans React Server Components (RSC), permettant une exécution de code à distance sans authentification.
• Activité malveillante : Exploitation généralisée pour déployer des mineurs de cryptomonnaie et de nouveaux malwares.
• Types de malwares observés :
  • PeerBlight : Un backdoor Linux persistant, conçu pour échapper à la détection en se faisant passer pour un processus système. Il communique avec un serveur C2 (Command and Control) et peut également utiliser des réseaux DHT (BitTorrent) comme mécanisme de secours.
  • CowTunnel : Un proxy inverse facilitant les connexions sortantes vers des serveurs C2 contrôlés par l’attaquant, contournant ainsi les pare-feu.
  • ZinFoq : Un implant post-exploitation Linux doté de capacités interactives (shell, opérations sur fichiers, pivot réseau, modification d’horodatages) et conçu pour effacer les traces et dissimuler sa présence en se faisant passer pour des services système légitimes.
  • Scripts de déploiement : Des scripts comme sex.sh, d5.sh, et fn22.sh servent à télécharger et exécuter d’autres malwares, certains incluant des mécanismes d’auto-mise à jour.
  • Variantes de malwares : Des variantes du malware DDoS Kaiji ont également été observées, intégrant des fonctionnalités d’administration à distance, de persistance et d’évasion.
• Tendances d’attaque : Utilisation d’outils d’exploitation automatisés, ciblage opportuniste, mais aussi adaptation par des acteurs étatiques et potentiellement liée à des groupes de ransomware.
• Étendue de l’exploitation : Plus de 165 000 adresses IP et 644 000 domaines identifiés comme vulnérables, avec une forte concentration aux États-Unis, en Allemagne, en France et en Inde. De nombreuses organisations dans des secteurs variés ont été touchées.

Vulnérabilités :

• CVE-2025-55182 : Sévérité maximale, exécution de code à distance non authentifiée dans React Server Components (RSC).

Recommandations :

• Mise à jour immédiate : Les organisations utilisant react-server-dom-webpack, react-server-dom-parcel, ou react-server-dom-turbopack doivent impérativement mettre à jour leurs systèmes en raison de la facilité d’exploitation et de la gravité de la faille.
• Stratégies de détection : Il est conseillé de prendre en compte les preuves de concept (PoC) existantes et les potentielles modifications de charges utiles lors de la conception des stratégies de détection.

Source