تتواصل موجة الاستغلال المكثف لثغرة React2Shell الأمنية، حيث يستغلها المهاجمون لتوصيل برامج تعدين العملات المشفرة ومجموعة من عائلات البرمجيات الخبيثة الجديدة، وفقاً لنتائج جديدة من شركة Huntress المتخصصة في الأمن السيبراني. وقد تم رصد استهداف منظمات متعددة عبر هذه الثغرة الخطيرة.
تشمل البرمجيات الخبيثة المكتشفة باباً خلفياً لنظام لينكس يُدعى PeerBlight، ونفق بروكسي عكسي باسم CowTunnel، وأداة اختراق إضافية تعتمد على لغة Go وتُعرف باسم ZinFoq. هذه الاكتشافات تشير إلى تطور مستمر في أساليب التهديدات السيبرانية.
استغلال ثغرة React2Shell الأمنية يهدد المؤسسات
أفادت شركة Huntress بأنها رصدت مهاجمين يستهدفون عدداً كبيراً من المؤسسات عبر الثغرة الأمنية الحرجة CVE-2025-55182، والتي تتيح تنفيذ تعليمات برمجية عن بعد دون الحاجة للمصادقة. حتى 8 ديسمبر 2025، استهدفت هذه الجهود مجموعة واسعة من القطاعات، أبرزها قطاعا الإنشاءات والترفيه.
يعود أول محاولة استغلال مسجلة على نقطة نهاية تعمل بنظام ويندوز وفقاً لـ Huntress إلى 4 ديسمبر 2025، حيث استغل جهة فاعلة غير معروفة نسخة غير آمنة من Next.js لتنزيل سكربت شل، متبوعاً بأوامر لتنزيل برنامج تعدين للعملات المشفرة وباب خلفي لنظام لينكس.
في حالتين أخريين، لوحظ أن المهاجمين يطلقون أوامر استكشاف ويحاولون تنزيل حمولات متعددة من خادم قيادة وتحكم (C2). كما استهدفت بعض الاختراقات البارزة مضيفات لينكس لتنزيل عامل تعدين العملات المشفرة XMRig، بالإضافة إلى استخدام أداة متاحة للجمهور على GitHub لتحديد نسخ Next.js غير الآمنة قبل بدء الهجوم.
آليات الهجوم والأدوات المستخدمة
“بناءً على النمط الثابت الذي تمت ملاحظته عبر نقاط نهاية متعددة، بما في ذلك استكشاف الثغرات المتطابق، واختبارات شفرة الشل، والبنية التحتية لخوادم القيادة والتحكم، نقدر أن الجهة الفاعلة تستغل أدوات استغلال آلية”، بحسب باحثي Huntress. “يدعم هذا بشكل أكبر محاولات نشر حمولات خاصة بنظام لينكس على نقاط نهاية ويندوز، مما يشير إلى أن الأتمتة لا تفرق بين أنظمة تشغيل الهدف”.
يتضمن الابتزاز تشغيل سكربتات بث (bash scripts) تقوم بسحب أدوات تعدين العملات المشفرة مثل XMRig مباشرة من GitHub. هذه السكربتات غالباً ما تكون جزءاً من سلسلة خطوات تهدف إلى إرساء موطئ قدم للمهاجم داخل الشبكة المستهدفة.
ومن بين الأدوات التي تم رصدها، يبرز PeerBlight، وهو باب خلفي لنظام لينكس يشارك بعض التداخلات البرمجية مع عائلات برمجيات خبيثة أخرى مثل RotaJakiro و Pink. يقوم هذا الباب الخلفي بتثبيت خدمة systemd لضمان الاستمرارية، ويتنكر كعملية “ksoftirqd” ديمون لتجنب الكشف.
CowTunnel هو أداة أخرى تثير القلق، وهي عبارة عن بروكسي عكسي يبدأ اتصالاً صادراً بخوادم Fast Reverse Proxy (FRP) التي يتحكم بها المهاجم، مما يسمح بتجاوز جدران الحماية التي تم تكوينها لمراقبة الاتصالات الواردة فقط.
أما ZinFoq، فهو ثنائي ELF لنظام لينكس ينفذ إطار عمل ما بعد الاستغلال، ويتضمن ميزات مثل شل تفاعلي، عمليات على الملفات، التموضع الشبكي (network pivoting)، والقدرة على تعديل أوقات توقيع الملفات (timestomping). هذه القدرات تجعله أداة قوية للتجسس والتحكم.
تم أيضاً رصد سكربتات إسقاط مثل d5.sh وfn22.sh، والتي تعمل على نشر إطار عمل Sliver C2. يضيف إصدار fn22.sh آلية تحديث ذاتي لجلب نسخة جديدة من البرمجية الخبيثة وإعادة تشغيلها، مما يعزز قدرته على البقاء.
يُضاف إلى ذلك، سكربت wocaosinm.sh، وهو متغير من برمجية DDoS الخبيثة Kaiji. يدمج هذا المتغير إمكانيات الإدارة عن بعد، الاستمرارية، وقدرات التخفي.
وفقاً لـ Huntress، فإن Patches for React2Shell أو التحديثات الفورية ضرورية جداً. المؤسسات التي تعتمد على react-server-dom-webpack، react-server-dom-parcel، أو react-server-dom-turbopack، يُنصح بشدة بتحديث أنظمتها فوراً، نظراً “لسهولة الاستغلال المحتملة وخطورة الثغرة”.
جاء هذا التطور في وقت قالت فيه مؤسسة Shadowserver Foundation إنها اكتشفت أكثر من 165,000 عنوان IP و 644,000 نطاق تحتوي على كود غير آمن حتى 8 ديسمبر 2025، وذلك بعد “تحسينات في استهداف المسح”. تقع أكثر من 99,200 هذه الحالات في الولايات المتحدة، تليها ألمانيا (14,100)، فرنسا (6,400)، والهند (4,500).