- React2Shell (CVE-2025-55182) foi explorado para comprometer centenas de sistemas em todo o mundo
- Grupos ligados à China e à Coreia do Norte exploram a falha para persistência, espionagem e criptomineração
- Patch imediatamente no React 19.0.1, 19.1.2 ou 19.2.1.
React2Shell, uma vulnerabilidade de gravidade crítica em React Server Components (RCS), já foi usada para comprometer “centenas de máquinas em diferentes clusters organizacionais”.
Isto está de acordo com a Microsoft, cuja última postagem no blog discute a vulnerabilidade e como se defender contra ataques recebidos.
No início de dezembro, a equipe do React publicou um comunicado de segurança detalhando um bug de pré-autenticação em várias versões de vários pacotes que afeta o RCS. O bug denominado “React2Shell” agora está listado como CVE-2025-55182 e recebe uma pontuação de gravidade de 10/10 (crítico).
Comandos arbitrários, gotejadores e criptomineradores
Dado que React é uma das bibliotecas JavaScript mais populares do mercado, alimentando grande parte da Internet atual, os pesquisadores alertaram que a exploração era iminente e pediram a todos que aplicassem a correção sem demora e atualizassem seus sistemas para as versões 19.0.1, 19.1.2 e 19.2.1.
Agora, a Microsoft diz que esses avisos se tornaram realidade, já que muitos agentes de ameaças exploraram a falha para executar comandos arbitrários, liberar malware e mover-se lateralmente pela infraestrutura alvo, misturando-a com sucesso com outro tráfego legítimo.
Redmond também enfatizou que o número de ataques aumentou depois que o React tornou públicas suas descobertas, à medida que mais agentes de ameaças passaram a implantar downloaders e criptomineradores baseados em memória.
Há duas semanas, a Amazon Web Services (AWS) informou que dois grupos ligados à China, Earth Lamia e Jackpot Panda, foram vistos usando a falha para atingir organizações em diferentes setores verticais.
Os alvos estão em todo o mundo, da América Latina ao Médio Oriente e Sudeste Asiático. Empresas de serviços financeiros, logística, varejo, empresas de TI, universidades e organizações governamentais estão sendo atacadas, com o objetivo de estabelecer persistência de ataques e espionagem cibernética.
Pouco depois, os investigadores também descobriram que os agentes de ameaças patrocinados pelo Estado norte-coreano estavam a fazer o mesmo. A única diferença é que os norte-coreanos estão usando a falha para espalhar um malware inovador e persistente chamado EtherRAT. Comparado ao que o Earth Lamia e o Jackpot Panda estavam fazendo, o EtherRAT é “muito mais sofisticado”, representando um implante de acesso permanente que combina técnicas de pelo menos três campanhas documentadas.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
