React2Shell भेद्यता

सुरक्षा शोधकर्ताओं ने पुष्टि की है कि React2Shell नामक गंभीर सुरक्षा खामी का कई हमलावर Linux-आधारित प्रणालियों को हैक करने के लिए सक्रिय रूप से दुरुपयोग कर रहे हैं। इस खामी का लाभ उठाकर कई मैलवेयर परिवारों, विशेष रूप से KSwapDoor और ZnDoor को तैनात किया जा रहा है, जिससे प्रभावित वातावरणों तक गहन और निरंतर पहुंच प्राप्त हो रही है। चल रहे इस शोषण से पता चलता है कि एक बार उजागर होने के बाद उच्च प्रभाव वाली अनुप्रयोग खामियों को कितनी जल्दी क्रियाशील बनाया जा सकता है।

KSwapDoor: एक गुप्त रूप से काम करने वाला लिनक्स बैकडोर

KSwapDoor एक सावधानीपूर्वक डिज़ाइन किया गया रिमोट एक्सेस टूल है जो लंबे समय तक छिपा रहने के लिए बनाया गया है। यह एक आंतरिक मेश नेटवर्क स्थापित करता है जो संक्रमित सर्वरों को आपस में संवाद करने की अनुमति देता है, जिससे हमलावरों को परिधि सुरक्षा को भेदने और व्यक्तिगत नोड्स के अवरुद्ध होने पर भी अपनी सक्रियता बनाए रखने में मदद मिलती है। इसका नेटवर्क ट्रैफ़िक मज़बूत एन्क्रिप्शन से सुरक्षित है, जिससे इसकी जाँच और पहचान करना काफ़ी मुश्किल हो जाता है। इसकी सबसे चिंताजनक क्षमताओं में से एक है निष्क्रिय अवस्था, जो मैलवेयर को तब तक निष्क्रिय रहने देती है जब तक कि इसे कोई गुप्त ट्रिगर प्राप्त नहीं होता जो इसे पुनः सक्रिय कर देता है, जिससे फ़ायरवॉल नियंत्रणों को प्रभावी ढंग से दरकिनार किया जा सकता है।

शोधकर्ताओं ने स्पष्ट किया कि KSwapDoor को पहले BPFDoor के रूप में गलत पहचान लिया गया था। वास्तव में, यह एक लिनक्स बैकडोर है जो इंटरैक्टिव शेल एक्सेस, मनमानी कमांड निष्पादन, फ़ाइल हेरफेर और पार्श्व स्थानांतरण के अवसरों की स्कैनिंग का समर्थन करता है। और अधिक घुलमिल जाने के लिए, यह एक वैध लिनक्स कर्नेल स्वैप डेमन के रूप में छद्मवेश धारण करता है, जिससे नियमित सिस्टम निगरानी के दौरान संदेह पैदा होने की संभावना कम हो जाती है।

ZnDoor के अभियान जापानी संगठनों को निशाना बना रहे हैं

इसी क्रम में, जापान में संगठनों को ऐसे हमलों का निशाना बनाया गया है जो ZnDoor को पहुंचाने के लिए React2Shell का उपयोग करते हैं। इस रिमोट एक्सेस ट्रोजन को कम से कम दिसंबर 2023 से वास्तविक गतिविधियों में देखा गया है। ये घुसपैठें आमतौर पर एक साधारण बैश कमांड से शुरू होती हैं जो wget का उपयोग करके 45.76.155.14 पर स्थित एक रिमोट सर्वर से पेलोड प्राप्त करती है और फिर उसे स्थानीय रूप से निष्पादित करती है।

एक बार स्थापित हो जाने के बाद, ZnDoor हमलावर द्वारा नियंत्रित बुनियादी ढांचे से जुड़कर निर्देश प्राप्त करता है और उन पर कार्रवाई करता है। इसकी कार्यक्षमता व्यापक है और यह प्रभावित होस्ट पर पूर्ण नियंत्रण सक्षम बनाता है, जैसा कि नीचे दिए गए समर्थित कमांड सेट द्वारा दर्शाया गया है:

• डायरेक्ट कमांड एग्जीक्यूशन और इंटरैक्टिव एक्सेस के लिए शेल और इंटरैक्टिव_शेल।
• फ़ाइल और डायरेक्टरी संचालन के लिए explorer, explorer_cat, explorer_delete, explorer_upload और explorer_download का उपयोग किया जाता है।
• होस्ट की जानकारी एकत्र करने की प्रणाली
• फ़ाइल टाइमस्टैम्प को बदलने के लिए change_timefile का उपयोग करें
• socket_quick_startstreams का उपयोग SOCKS5 प्रॉक्सी लॉन्च करने के लिए किया जाता है।
• पोर्ट फॉरवर्डिंग को प्रबंधित करने के लिए start_in_port_forward और stop_in_port का उपयोग करें।

CVE-2025-55182 और बहु-समूह हथियारकरण

यह व्यापक गतिविधि CVE-2025-55182 के व्यापक दुरुपयोग के साथ मेल खाती है, जो React2Shell की एक भेद्यता है और जिसे अधिकतम CVSS स्कोर 10.0 दिया गया है। कम से कम पांच चीन समर्थित खतरा समूहों को इस खामी का हथियार बनाकर टनलिंग टूल, डाउनलोडर और कई लिनक्स बैकडोर सहित विभिन्न प्रकार के पेलोड वितरित करते हुए देखा गया है। इनमें MINOCAT, SNOWLIGHT, COMPOOD, HISONIC का एक अद्यतन संस्करण जो Cloudflare Pages और GitLab का उपयोग करके वैध ट्रैफ़िक में घुलमिल जाता है, और ANGRYREBEL का एक लिनक्स संस्करण, जिसे Noodle RAT के नाम से भी जाना जाता है, शामिल हैं।

शोषण के बाद दुर्व्यवहार और पेलोड विविधता

प्रारंभिक कोड निष्पादन हासिल करने के बाद, हमलावर आमतौर पर अपनी पकड़ मजबूत करने के लिए मनमाने कमांड चलाते हैं। इसमें कोबाल्ट स्ट्राइक के ज्ञात इंफ्रास्ट्रक्चर पर रिवर्स शेल स्थापित करना, मेशएजेंट जैसे रिमोट मॉनिटरिंग और मैनेजमेंट टूल तैनात करना, authorized_keys फ़ाइल में बदलाव करना और सीधे रूट लॉगिन सक्षम करना शामिल है। इन ऑपरेशनों के दौरान देखे गए अतिरिक्त पेलोड में VShell, EtherRAT, ShadowPad, XMRig और SNOWLIGHT की बार-बार तैनाती शामिल हैं।

पकड़े जाने से बचने के लिए, ये अभियान अक्सर trycloudflare.com डोमेन के अंतर्गत क्लाउडफ्लेयर टनल एंडपॉइंट्स पर निर्भर करते हैं, जिससे कमांड-एंड-कंट्रोल ट्रैफ़िक वैध सेवाओं के साथ घुलमिल जाता है। इसके बाद व्यापक जासूसी करके वातावरण का मानचित्रण किया जाता है, पार्श्व आवागमन को समर्थन दिया जाता है और महत्वपूर्ण क्रेडेंशियल्स की पहचान की जाती है।

क्लाउड क्रेडेंशियल हार्वेस्टिंग और सीक्रेट डिस्कवरी

इन हमलों का मुख्य उद्देश्य क्लाउड वातावरण में क्रेडेंशियल की चोरी करना है। हमलावर Azure, AWS, Google क्लाउड प्लेटफ़ॉर्म और Tencent क्लाउड के इंस्टेंस मेटाडेटा सेवाओं से पहचान टोकन प्राप्त करने और अपनी पहुंच बढ़ाने के लिए क्वेरी करते देखे गए हैं। वे संवेदनशील सामग्री निकालने के लिए TruffleHog और Gitleaks जैसे गुप्त स्कैनिंग टूल और कस्टम स्क्रिप्ट का भी उपयोग करते हैं। इसमें OpenAI API कुंजी, Databricks टोकन, Kubernetes सेवा खाता रहस्य और Azure CLI और Azure डेवलपर CLI टूलिंग के माध्यम से प्राप्त एक्सेस टोकन जैसे AI और क्लाउड-नेटिव क्रेडेंशियल चुराने के प्रयास शामिल हैं।

Next.js का दुरुपयोग और डेटा की चोरी

इसी से संबंधित एक अभियान में, शोधकर्ताओं ने CVE-2025-29927 और CVE-2025-66478 सहित कई Next.js खामियों के शोषण का दस्तावेजीकरण किया, जिनमें से बाद वाला उसी React2Shell समस्या का एक पूर्व पहचानकर्ता है। इन हमलों का उद्देश्य कॉन्फ़िगरेशन फ़ाइलें, पर्यावरण चर, SSH कुंजी, क्लाउड क्रेडेंशियल, Git प्रमाणीकरण डेटा, शेल कमांड इतिहास और संवेदनशील सिस्टम फ़ाइलें जैसे कि passwd और shadow को व्यवस्थित रूप से निकालना था। मैलवेयर निरंतरता भी स्थापित करता है, एक SOCKS5 प्रॉक्सी स्थापित करता है, पोर्ट 888 पर 67.217.57.240 पर एक रिवर्स शेल खोलता है, और अतिरिक्त कमजोर लक्ष्यों की खोज के लिए इंटरनेट पर एक React स्कैनर तैनात करता है।

ऑपरेशन पीसीपीसीएटी: पैमाना और प्रभाव

ऑपरेशन पीसीपीसीटी नाम से चल रही इस संयुक्त गतिविधि से अब तक 59,128 सर्वर प्रभावित हो चुके हैं। विश्लेषकों का मानना है कि यह अभियान बड़े पैमाने पर खुफिया जानकारी जुटाने और औद्योगिक स्तर पर डेटा चोरी करने का संकेत है। मौजूदा आंकड़ों के अनुसार, 111,000 से अधिक आईपी पते अभी भी रिएक्ट2शेल के दुरुपयोग के प्रति संवेदनशील हैं, जिनमें से सबसे अधिक अमेरिका में हैं, उसके बाद जर्मनी, फ्रांस और भारत का स्थान आता है। एकत्रित टेलीमेट्री से यह भी पता चलता है कि अमेरिका, भारत, ब्रिटेन, सिंगापुर और नीदरलैंड जैसे क्षेत्रों में सैकड़ों दुर्भावनापूर्ण आईपी पतों ने 24 घंटे की अवधि के भीतर ही इस तरह के दुरुपयोग के प्रयासों में सक्रिय रूप से भाग लिया है।