كشفت تقارير أمنية حديثة عن استغلال ثغرة أمنية تعرف باسم React2Shell لتنفيذ هجمات إلكترونية واسعة النطاق، حيث يستخدمها مجرمو الإنترنت حالياً لتوزيع برمجيات خبيثة متطورة مثل KSwapDoor و ZnDoor. وتُعد هذه الثغرة، التي تم تصنيفها سابقاً ضمن فئة CVE-2025-55182، ذات خطورة قصوى نظراً لقدرتها على فتح الباب أمام المهاجمين للسيطرة الكاملة على الأنظمة المستهدفة.
وبحسب التحليلات الصادرة عن شركتي Palo Alto Networks Unit 42 و NTT Security، فإن البرمجية الخبيثة KSwapDoor، على وجه الخصوص، تم تصميمها باحترافية عالية بهدف التخفي، حيث تعمل على بناء شبكة داخلية تتيح للخوادم المخترقة التواصل فيما بينها وتجاوز إجراءات الحماية الأمنية. وتعتمد هذه الأداة على تشفير قوي للمحافظة على سرية اتصالاتها، والأكثر إثارة للقلق هو احتوائها على وضع “نائم” يسمح للمهاجمين بتجاوز جدران الحماية من خلال تفعيل البرمجية الخبيثة بإشارة سرية غير مرئية.
الاستغلال الواسع لثغرة React2Shell
أشارت Palo Alto Networks إلى أن KSwapDoor، التي كانت تُصنف بالخطأ سابقاً كـ BPFDoor، هي عبارة عن باب خلفي لأنظمة لينكس يوفر إمكانية الوصول التفاعلي عبر سطر الأوامر، وتنفيذ الأوامر، وإجراء عمليات على الملفات، بالإضافة إلى مسح الشبكة للحركة الجانبية. كما أنها تتنكر كأداة تبديل للنواة (kernel swap daemon) في لينكس لتجنب الكشف.
وفي تطور متصل، ذكرت NTT Security أن المؤسسات في اليابان تتعرض لهجمات إلكترونية تستغل React2Shell لنشر ZnDoor، وهي برمجية خبيثة تم رصدها في البرية منذ ديسمبر 2023. وتشمل سلاسل الهجوم هذه تنفيذ أمر Bash لجلب الحمولة (payload) من خادم بعيد، ثم تنفيذها.
برمجيات خبيثة متعددة وبرامج استغلال
تُظهر التقارير أن الثغرة الأمنية، التي تحمل المعرف CVE-2025-55182، قد تم استغلالها من قبل جهات تهديد متعددة. وقد حددت جوجل ما لا يقل عن خمس مجموعات مرتبطة بالصين قامت بتسليح هذه الثغرة لتوزيع مجموعة متنوعة من الحمولات الخبيثة.
هذه الحمولات تشمل أدوات مختلفة مثل MINOCAT، و SNOWLIGHT، و COMPOOD، بالإضافة إلى نسخة محدثة من باب خلفي مكتوب بلغة Go يُدعى HISONIC، والتي تستخدم خدمات مثل Cloudflare Pages و GitLab لاسترداد التكوينات المشفرة والاندماج مع نشاط الشبكة الشرعي. كما تم رصد توزيع نسخة لينكس من ANGRYREBEL (المعروفة أيضاً بـ Noodle RAT).
ومن جهتها، أفادت مايكروسوفت في إشعار أمني خاص بها أن جهات التهديد قد استفادت من هذه الثغرة لتنفيذ أوامر عشوائية، بما في ذلك إعداد اتصالات عكسية (reverse shells) بخوادم Cobalt Strike المعروفة، ثم إسقاط أدوات المراقبة والإدارة عن بعد (RMM)، وتعديل ملف authorized_keys، وتمكين تسجيل الدخول بامتيازات الجذر (root).
تضمنت بعض الحمولات التي تم تسليمها في هذه الهجمات برمجيات مثل VShell، EtherRAT، SNOWLIGHT، ShadowPad، و XMRig. وتتميز الهجمات أيضاً باستخدام نقاط نهاية Cloudflare Tunnel لتجنب الدفاعات الأمنية، وإجراء استطلاع للبيئات المخترقة لتسهيل الحركة الجانبية وسرقة بيانات الاعتماد.
استهداف بيانات الاعتماد والبنية التحتية السحابية
أوضحت مايكروسوفت أن أنشطة جمع بيانات الاعتماد استهدفت نقاط نهاية Azure Instance Metadata Service (IMDS) لمنصات Azure، و Amazon Web Services (AWS)، و Google Cloud Platform (GCP)، و Tencent Cloud، بهدف الحصول على رموز الهوية للتغلغل بشكل أعمق في البنى التحتية السحابية. وقد استخدم المهاجمون أدوات اكتشاف الأسرار مثل TruffleHog و Gitleaks، بالإضافة إلى نصوص برمجية مخصصة لاستخراج العديد من الأسرار المختلفة.
كما لوحظت محاولات لجمع بيانات الاعتماد الخاصة بالذكاء الاصطناعي والسحابة الأصلية، مثل مفاتيح OpenAI API، ورموز Databricks، وبيانات اعتماد حسابات خدمة Kubernetes. وتم استخدام Azure Command-Line Interface (CLI) و Azure Developer CLI للحصول على الرموز.
الحملات الضخمة واستمرار الانتشار
في حملة أخرى، رصدت Beelzebub استغلال جهات التهديد لثغرات في Next.js، بما في ذلك ثغرة React2Shell، لتمكين الاستخراج المنهجي لبيانات الاعتماد والبيانات الحساسة. وتشمل البيانات المستهدفة متغيرات البيئة، ومفاتيح SSH، وبيانات اعتماد السحابة، وبيانات اعتماد Git، وسجل الأوامر، وملفات النظام الحساسة.
تستمر البرمجيات الخبيثة في تثبيت نفسها بشكل دائم على الخادم للبقاء بعد إعادة التشغيل، وتثبيت بروكسي SOCKS5، وإنشاء اتصال عكسي، ثم تثبيت ماسح React (React scanner) لاختراق الإنترنت لمزيد من الانتشار. وتقدر عملية Operation PCPcat، كما تمت تسميتها، أنها قد اخترقت بالفعل 59,128 خادماً، وتُظهر هذه الحملة خصائص عمليات استخباراتية واسعة النطاق واستخلاص بيانات على نطاق صناعي.
تُشير مؤسسة Shadowserver Foundation حالياً إلى وجود أكثر من 111,000 عنوان IP معرض للخطر بسبب ثغرة React2Shell، حيث تتركز الغالبية العظمى في الولايات المتحدة، تليها ألمانيا وفرنسا والهند. وتُظهر بيانات GreyNoise وجود 547 عنوان IP خبيث من دول مختلفة يشارك في جهود الاستغلال خلال الـ 24 ساعة الماضية، مما يؤكد على الحاجة الملحة لتعزيز الإجراءات الأمنية.