شهد قطاع الأمن السيبراني تطورات مقلقة مع الظهور المفاجئ لثغرة “React2Shell” (CVE-2025-55182)، وهي ثغرة أمنية حرجة تؤثر على Next.js ومكونات خوادم React. تم الكشف عن هذه الثغرة قبل أيام، وسرعان ما استجابت الجهات الخبيثة بشن محاولات استغلال واسعة النطاق للأنظمة المتصلة بالإنترنت.
بدأت محاولات الاستغلال في غضون 20 ساعة من الكشف العام عن الثغرة في 4 ديسمبر 2025. تتيح هذه الثغرة للمهاجمين غير المصرح لهم تنفيذ تعليمات برمجية تعسفية على الخوادم المعرضة للخطر، مما يجعلها تشكل تهديداً ذا أولوية قصوى للمؤسسات على مستوى العالم. تبدأ الهجمات عادةً بطلبات HTTP POST خبيثة تستهدف مسارات خادم محددة.
أداة “ILOVEPOOP” تقود موجة هجمات React2Shell
كشف محللون في WhoisXMLAPI عن أن أداة “ILOVEPOOP” تقف وراء جزء كبير من هذا النشاط العدواني. تعمل هذه الأداة، رغم اسمها غير الرسمي، من خلال بنية تحتية مركزية، بالاعتماد بشكل أساسي على خادمين ذوي حركة مرور عالية في هولندا.
تشير البيانات الهاتفية إلى أن هذين الخادمين قد تفاعلا مع ملايين النقاط النهائية عالمياً، مما يعكس جهوداً ضخمة لرسم خرائط للشبكات المعرضة للخطر واستغلالها في قطاعات متنوعة مثل البرمجيات كخدمة (SaaS)، والتجزئة، والقطاع الحكومي.
بصمة مميزة لهجمات “ILOVEPOOP”
تتميز أداة “ILOVEPOOP” بتوقيع هجوم فريد ومتناسق، مما يسهل اكتشافها من قبل المدافعين اليقظين. تستخدم الأداة مجموعة من تسع عقد ماسحة ضوئية مميزة تقوم بتدوير عملياتها للحفاظ على الاستمرارية وتجنب قوائم الحظر الثابتة.
من أبرز سمات هذه الأداة تضمين رؤوس HTTP محددة وغير قياسية في كل محاولة استغلال، أبرزها “X-Nextjs-Request-Id: poop1234” و “Next-Action: x”. تعمل هذه العلامات كبصمة رقمية، تربط آلاف الهجمات المنفصلة بمشغل واحد أو مجموعة.
منهجية الهجوم وسبل الحماية
بالإضافة إلى ذلك، تتبع الأداة منهجية مسح صارمة، حيث تقوم بفحص ستة مسارات محددة لـ Next.js بشكل منهجي لاختبار مدى قابلية التأثر. غالباً ما تبدأ الأداة باستطلاع عام للصفحات الرئيسية قبل التصعيد إلى حمولات معقدة من إجراءات خادم React تتضمن تسميم النموذج الأولي (prototype pollution).
تعتبر البنية التحتية مركزية للغاية، حيث تعمل عناوين IP الهولندية الرئيسية (193.142.147[.]209 و 87.121.84[.]24) كمراكز قيادة. علاوة على ذلك، أظهرت الأداة مرونة غير عادية، مع محاولات ملحوظة لتوصيل حمولات React2Shell عبر بروتوكولات POP3، ربما لتجاوز مرشحات الويب القياسية.
ومع ذلك، يبقى حظر هذه العقد الأساسية وتصفية أنماط رؤوس “ilovepoop” هي الطريقة الأكثر فعالية لتحييد التهديد المباشر. يجب على فرق الأمن على وجه السرعة تصحيح تثبيتات Next.js المتأثرة وتكوين جدران حماية تطبيقات الويب (WAF) لرفض الطلبات التي تحتوي على الرؤوس الخبيثة المحددة.
كما يُنصح بشدة بحظر حركة المرور من الخوادم الاستغلالية المعروفة المتمركزة في هولندا لتعطيل قنوات الاتصال الرئيسية للأداة. إن تطبيق هذه الإجراءات الوقائية يمكن أن يقلل بشكل كبير من خطر الاستغلال الناجح.