Negli ultimi giorni la vulnerabilità React2Shell, identificata come CVE-2025-55182, sta subendo un’ondata di attacchi automatizzati che colpiscono numerosi settori, dal costruzione all’intrattenimento, fino al mondo dei servizi finanziari e governativi. Questa falla critica nei React Server Components permette l’esecuzione di codice da remoto senza autenticazione, favorendo la diffusione di malware e miner di criptovalute su sistemi Linux e Windows.

Campagne malevole e payload osservati

Le campagne malevole sfruttano la vulnerabilità per installare diversi payload, tra cui il miner XMRig e nuove famiglie di malware come PeerBlight, CowTunnel e ZinFoq. PeerBlight è una backdoor per Linux che si assicura la persistenza mascherandosi da processo di sistema e comunica tramite un server C2 codificato, oltre a utilizzare un algoritmo di generazione domini (DGA) e la rete BitTorrent DHT per garantire ridondanza e comando. CowTunnel agisce come reverse proxy, consentendo la creazione di tunnel verso server remoti degli attaccanti e superando così i firewall che monitorano solo connessioni in ingresso. ZinFoq, invece, è un binario ELF che offre un framework post-exploitation: shell interattiva, operazioni su file, pivoting di rete e tecniche di evasione come il timestomping e la cancellazione della cronologia bash.

Modalità d’attacco e strumenti utilizzati

Gli attacchi sono stati osservati già dal 4 dicembre 2025, con script malevoli come sex.sh, d5.sh e fn22.sh che scaricano miner di criptovaluta o installano framework C2 come Sliver. In alcuni casi viene anche distribuita una variante della botnet Kaiji, specializzata in attacchi DDoS e dotata di funzioni di amministrazione remota ed evasione.

Il pattern degli attacchi suggerisce l’uso di strumenti di exploitation automatizzati che non distinguono il sistema operativo bersaglio, distribuiscono payload Linux anche su endpoint Windows e sfruttano tool open source per individuare istanze Next.js vulnerabili prima di colpire.

Impatto e diffusione

Le infezioni PeerBlight sono state tracciate su oltre 60 nodi unici, identificabili grazie a un prefisso specifico nel Node ID, e la condivisione delle configurazioni C2 avviene solo in un terzo dei casi per ridurre la possibilità di rilevamento.

Il panorama delle minacce si fa sempre più complesso: più di 165.000 indirizzi IP e 644.000 domini risultano vulnerabili a questa falla, molti localizzati negli Stati Uniti, Germania, Francia e India. Nel frattempo, sono state rilevate attività legate a campagne avanzate come Contagious Interview, con la distribuzione di malware già noti come EtherRAT, BPFDoor e Auto-Color. Gli attacchi variano da cryptominer opportunistici a framework post-exploitation sofisticati, coinvolgendo oltre 50 organizzazioni nel mondo.

Raccomandazioni

È fondamentale aggiornare immediatamente i pacchetti react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack, vista la facilità di sfruttamento e la gravità della vulnerabilità. Gli esperti consigliano di monitorare attentamente anche la comparsa di nuove varianti e proof-of-concept per migliorare le strategie di rilevamento e difesa.