ثغرة أمنية في React2Shell

أكد باحثون أمنيون أن ثغرة React2Shell الخطيرة تُستغل بنشاط من قبل جهات تهديد متعددة لاختراق أنظمة لينكس. ويتم استغلال هذه الثغرة لنشر عدة عائلات من البرمجيات الخبيثة، أبرزها KSwapDoor وZnDoor، مما يتيح الوصول العميق والمستمر إلى البيئات المتأثرة. ويُبرز هذا الاستغلال المستمر مدى سرعة تفعيل ثغرات التطبيقات ذات التأثير الكبير بمجرد الكشف عنها.

KSwapDoor: باب خلفي لنظام لينكس يركز على التخفي

KSwapDoor أداة وصول عن بُعد مُصممة بعناية فائقة للبقاء مخفية لفترات طويلة. تُنشئ شبكة داخلية مُتشابكة تُمكّن الخوادم المُصابة من التواصل فيما بينها، مما يُساعد المُهاجمين على تجاوز دفاعات الشبكة والحفاظ على استمرارية العمل حتى في حال حظر عُقد مُعينة. يتم حماية حركة مرور الشبكة بتشفير قوي، مما يُصعّب عملية الفحص والكشف بشكل كبير. من أبرز قدراتها المُقلقة حالة الخمول أو "النائم"، التي تسمح للبرمجية الخبيثة بالبقاء غير نشطة حتى تتلقى مُحفزًا خفيًا يُعيد تنشيطها، مُتجاوزةً بذلك ضوابط جدار الحماية.

أوضح الباحثون أن برنامج KSwapDoor كان يُشتبه به سابقًا على أنه BPFDoor. في الواقع، هو باب خلفي لنظام لينكس يدعم الوصول التفاعلي إلى واجهة سطر الأوامر، وتنفيذ أوامر عشوائية، والتلاعب بالملفات، والبحث عن فرص للتنقل الجانبي. ولزيادة التمويه، يتنكر البرنامج في هيئة برنامج تبديل نواة لينكس شرعي، مما يقلل من احتمالية إثارة الشكوك أثناء المراقبة الروتينية للنظام.

حملات ZnDoor التي تستهدف المنظمات اليابانية

في الوقت نفسه، استُهدفت منظمات في اليابان بهجمات تستغل React2Shell لنشر برمجية ZnDoor الخبيثة. وقد رُصدت هذه البرمجية الخبيثة للوصول عن بُعد في أنشطة حقيقية منذ ديسمبر 2023 على الأقل. تبدأ هذه الاختراقات عادةً بأمر bash بسيط يسترجع الحمولة من خادم بعيد على العنوان 45.76.155.14 باستخدام wget، ثم يُنفذها محليًا.

بمجرد تثبيته، يتصل برنامج ZnDoor بالبنية التحتية التي يتحكم بها المهاجم لتلقي التعليمات وتنفيذها. يتميز البرنامج بوظائفه الواسعة التي تتيح التحكم الكامل في الجهاز المخترق، كما هو موضح في مجموعة الأوامر المدعومة أدناه:

• shell و interactive_shell لتنفيذ الأوامر مباشرةً والوصول التفاعلي
• explorer، و explorer_cat، و explorer_delete، و explorer_upload، و explorer_download لعمليات الملفات والمجلدات
• نظام لجمع معلومات المضيف
• تغيير ملف الوقت لتغيير الطوابع الزمنية للملف
• socket_quick_startstreams لتشغيل وكيل SOCKS5
• يُستخدم الأمر start_in_port_forward والأمر stop_in_port لإدارة إعادة توجيه المنافذ.

CVE-2025-55182 وتسليح المجموعات المتعددة

يتزامن هذا النشاط الأوسع نطاقًا مع استغلال واسع النطاق للثغرة الأمنية CVE-2025-55182، وهي ثغرة في React2Shell مصنفة بدرجة خطورة قصوى تبلغ 10.0 وفقًا لمعيار CVSS. وقد رُصدت خمس مجموعات تهديد على الأقل، موالية للصين، وهي تستغل هذه الثغرة لتوزيع مجموعة متنوعة من البرامج الضارة، بما في ذلك أدوات الاختراق، وبرامج التنزيل، والعديد من الأبواب الخلفية لأنظمة Linux. ومن بين هذه البرامج: MINOCAT وSNOWLIGHT وCOMPOOD، بالإضافة إلى نسخة محدثة من برنامج HISONIC تندمج مع حركة المرور المشروعة باستخدام صفحات Cloudflare وGitLab، ونسخة Linux من برنامج ANGRYREBEL، المعروف أيضًا باسم Noodle RAT.

إساءة الاستخدام بعد الاستغلال وتنوع الحمولة

بعد الحصول على صلاحيات تنفيذ التعليمات البرمجية الأولية، يُنفّذ المهاجمون عادةً أوامر عشوائية لتعزيز سيطرتهم. يشمل ذلك إنشاء اتصالات عكسية مع البنية التحتية المعروفة لـ Cobalt Strike، ونشر أدوات المراقبة والإدارة عن بُعد مثل MeshAgent، وتعديل ملف authorized_keys، وتمكين تسجيلات الدخول المباشرة إلى حساب الجذر. تتضمن الحمولات الإضافية التي تم رصدها خلال هذه العمليات VShell وEtherRAT وShadowPad وXMRig، بالإضافة إلى عمليات نشر متكررة لـ SNOWLIGHT.

ولتجنب الكشف، تعتمد هذه الحملات في كثير من الأحيان على نقاط نهاية Cloudflare Tunnel ضمن نطاق trycloudflare.com، مما يسمح لحركة مرور التحكم والسيطرة بالاندماج مع الخدمات المشروعة. ثم تُجرى عمليات استطلاع واسعة النطاق لرسم خريطة للبيئة، ودعم الحركة الجانبية، وتحديد بيانات الاعتماد القيّمة.

جمع بيانات اعتماد الحوسبة السحابية واكتشاف الأسرار

يركز جزء كبير من هذه الهجمات على سرقة بيانات الاعتماد في بيئات الحوسبة السحابية. وقد رُصدت جهات التهديد وهي تستعلم عن خدمات بيانات تعريف مثيلات Azure وAWS وGoogle Cloud Platform وTencent Cloud في محاولة للحصول على رموز الهوية وتوسيع نطاق وصولها. كما تستخدم هذه الجهات أدوات فحص الأسرار مثل TruffleHog وGitleaks، إلى جانب برامج نصية مخصصة، لاستخراج البيانات الحساسة. ويشمل ذلك محاولات سرقة بيانات اعتماد الذكاء الاصطناعي وبيانات اعتماد الحوسبة السحابية الأصلية، مثل مفاتيح واجهة برمجة تطبيقات OpenAI، ورموز Databricks، وأسرار حسابات خدمة Kubernetes، ورموز الوصول التي يتم الحصول عليها من خلال أدوات Azure CLI وAzure Developer CLI.

استغلال Next.js وتسريب البيانات

في حملة ذات صلة، وثّق الباحثون استغلال ثغرات متعددة في Next.js، بما في ذلك CVE-2025-29927 وCVE-2025-66478، حيث كان الأخير مُعرّفًا سابقًا لنفس مشكلة React2Shell. ركّزت هذه الهجمات على استخراج ملفات التكوين، ومتغيرات البيئة، ومفاتيح SSH، وبيانات اعتماد الحوسبة السحابية، وبيانات مصادقة Git، وسجل أوامر shell، وملفات النظام الحساسة مثل passwd وshadow. كما يُرسي البرنامج الخبيث استمرارية الوصول، ويُثبّت وكيل SOCKS5، ويفتح اتصالًا عكسيًا مع 67.217.57.240 على المنفذ 888، وينشر ماسحًا ضوئيًا لـ React للبحث في الإنترنت عن أهداف أخرى مُعرّضة للخطر.

عملية PCPcat: النطاق والتأثير

يُعتقد أن النشاط المشترك، الذي يُرصد تحت اسم عملية PCPcat، قد اخترق بالفعل 59,128 خادمًا. ويُقيّم المحللون هذه الحملة على أنها مؤشر على جمع معلومات استخباراتية واسعة النطاق وتسريب بيانات مُنظّم. وتشير القياسات الحالية إلى أن أكثر من 111,000 عنوان IP لا تزال عُرضة لاستغلال ثغرة React2Shell، مع أعلى تركيز لها في الولايات المتحدة، تليها ألمانيا وفرنسا والهند. كما تُشير بيانات القياس عن بُعد المُجمّعة إلى أن مئات عناوين IP الخبيثة في مناطق مثل الولايات المتحدة والهند والمملكة المتحدة وسنغافورة وهولندا قد شاركت بنشاط في محاولات الاستغلال خلال فترة 24 ساعة فقط.