React2Shell को जोखिम

सुरक्षा अनुसन्धानकर्ताहरूले पुष्टि गरेका छन् कि React2Shell भनेर चिनिने महत्वपूर्ण जोखिमलाई लिनक्स-आधारित प्रणालीहरूलाई सम्झौता गर्न धेरै खतरा अभिनेताहरूले सक्रिय रूपमा दुरुपयोग गरिरहेका छन्। यो त्रुटिलाई धेरै मालवेयर परिवारहरू, विशेष गरी KSwapDoor र ZnDoor, तैनाथ गर्न प्रयोग गरिँदैछ, जसले प्रभावित वातावरणहरूमा गहिरो र निरन्तर पहुँच सक्षम पार्छ। चलिरहेको शोषणले एक पटक खुलासा भएपछि उच्च-प्रभाव अनुप्रयोग त्रुटिहरू कति छिटो सञ्चालन हुन्छन् भनेर प्रकाश पार्छ।

KSwapDoor: एक गोप्य-केन्द्रित लिनक्स ब्याकडोर

KSwapDoor एक सावधानीपूर्वक ईन्जिनियर गरिएको रिमोट एक्सेस उपकरण हो जुन लामो समयसम्म लुकाउनको लागि बनाइएको हो। यसले एक आन्तरिक मेष नेटवर्क स्थापना गर्दछ जसले संक्रमित सर्भरहरूलाई एकअर्कासँग सञ्चार गर्न अनुमति दिन्छ, आक्रमणकारीहरूलाई परिधि प्रतिरक्षाहरू बाइपास गर्न र व्यक्तिगत नोडहरू अवरुद्ध भएमा लचिलोपन कायम राख्न मद्दत गर्दछ। यसको नेटवर्क ट्राफिक बलियो इन्क्रिप्शनद्वारा सुरक्षित गरिएको छ, जसले निरीक्षण र पत्ता लगाउन धेरै गाह्रो बनाउँछ। यसको सबैभन्दा चिन्ताजनक क्षमताहरू मध्ये एक निष्क्रिय वा 'स्लीपर' अवस्था हो, जसले मालवेयरलाई निष्क्रिय रहन अनुमति दिन्छ जबसम्म यसले गोप्य ट्रिगर प्राप्त गर्दैन जसले यसलाई पुन: सक्रिय गर्दछ, प्रभावकारी रूपमा फायरवाल नियन्त्रणहरू बाइपास गर्दछ।

अनुसन्धानकर्ताहरूले स्पष्ट पारे कि KSwapDoor लाई पहिले BPFDoor को रूपमा गलत पहिचान गरिएको थियो। वास्तविकतामा, यो एक लिनक्स ब्याकडोर हो जसले अन्तरक्रियात्मक शेल पहुँच, मनमानी आदेश कार्यान्वयन, फाइल हेरफेर, र पार्श्व आन्दोलन अवसरहरूको लागि स्क्यानिङलाई समर्थन गर्दछ। थप मिश्रण गर्न, यसले एक वैध लिनक्स कर्नेल स्वाप डेमनको रूपमा लुकाउँछ, नियमित प्रणाली अनुगमनको समयमा शंका उठाउने सम्भावना कम गर्दछ।

जापानी संस्थाहरूलाई लक्षित गर्दै ZnDoor अभियानहरू

समानान्तर रूपमा, जापानका संस्थाहरूलाई ZnDoor डेलिभर गर्न React2Shell को शोषण गर्ने आक्रमणहरूले लक्षित गरिएको छ। यो रिमोट एक्सेस ट्रोजन कम्तिमा डिसेम्बर २०२३ देखि वास्तविक-विश्व गतिविधिमा अवलोकन गरिएको छ। यी घुसपैठहरू सामान्यतया साधारण ब्याश कमाण्डबाट सुरु हुन्छन् जसले wget प्रयोग गरेर ४५.७६.१५५.१४ मा रिमोट सर्भरबाट पेलोड पुन: प्राप्त गर्दछ र त्यसपछि यसलाई स्थानीय रूपमा कार्यान्वयन गर्दछ।

एकपटक स्थापना भएपछि, ZnDoor ले निर्देशनहरू प्राप्त गर्न र त्यसमा कार्य गर्न आक्रमणकारी-नियन्त्रित पूर्वाधारमा पुन: जडान गर्दछ। यसको कार्यक्षमता व्यापक छ र तल सेट गरिएको समर्थित आदेशद्वारा चित्रण गरिए अनुसार, सम्झौता गरिएको होस्टमा पूर्ण नियन्त्रण सक्षम बनाउँछ:

• प्रत्यक्ष आदेश कार्यान्वयन र अन्तरक्रियात्मक पहुँचको लागि शेल र इन्टरएक्टिभ_शेल
• फाइल र डाइरेक्टरी सञ्चालनका लागि एक्सप्लोरर, एक्सप्लोरर_क्याट, एक्सप्लोरर_डिलीट, एक्सप्लोरर_अपलोड, र एक्सप्लोरर_डाउनलोड
• होस्ट जानकारी सङ्कलन प्रणाली
• फाइल टाइमस्ट्याम्पहरू परिवर्तन गर्न change_timefile
• SOCKS5 प्रोक्सी सुरु गर्न socket_quick_startstreams
• पोर्ट फर्वार्डिङ व्यवस्थापन गर्न start_in_port_forward र stop_in_port प्रयोग गर्नुहोस्

CVE-2025-55182 र बहु-समूह हतियारीकरण

यो फराकिलो गतिविधि CVE-2025-55182 को व्यापक शोषणसँग मेल खान्छ, React2Shell को जोखिमले अधिकतम CVSS स्कोर १०.० तोकेको छ। कम्तिमा पाँचवटा चीन-पङ्क्तिबद्ध खतरा समूहहरूले टनेलिङ उपकरणहरू, डाउनलोडरहरू, र धेरै Linux ब्याकडोरहरू सहित विभिन्न दायराको पेलोडहरू वितरण गर्न यो त्रुटिलाई हतियार बनाएको अवलोकन गरिएको छ। यी मध्ये MINOCAT, SNOWLIGHT, COMPOOD, Cloudflare Pages र GitLab प्रयोग गरेर वैध ट्राफिकमा मिसिएको अद्यावधिक HISONIC संस्करण, र ANGRYREBEL को Linux संस्करण, जसलाई Noodle RAT पनि भनिन्छ, समावेश थिए।

शोषण पछिको दुरुपयोग र पेलोड विविधता

प्रारम्भिक कोड कार्यान्वयन प्राप्त गरेपछि, आक्रमणकारीहरूले सामान्यतया आफ्नो पाइला बलियो बनाउन मनमानी आदेशहरू चलाउँछन्। यसमा ज्ञात कोबाल्ट स्ट्राइक पूर्वाधारमा रिभर्स शेलहरू स्थापना गर्ने, मेशएजेन्ट जस्ता रिमोट निगरानी र व्यवस्थापन उपकरणहरू तैनाथ गर्ने, अधिकृत_की फाइल परिवर्तन गर्ने, र प्रत्यक्ष रूट लगइनहरू सक्षम गर्ने समावेश छ। यी अपरेशनहरूको क्रममा देखिएका थप पेलोडहरूमा VShell, EtherRAT, ShadowPad, XMRig, र SNOWLIGHT को बारम्बार तैनाथीहरू समावेश छन्।

पत्ता लगाउनबाट बच्न, अभियानहरू प्रायः trycloudflare.com डोमेन अन्तर्गत क्लाउडफ्लेयर टनेल एन्डपोइन्टहरूमा भर पर्छन्, जसले कमाण्ड-एन्ड-कन्ट्रोल ट्राफिकलाई वैध सेवाहरूसँग मिसाउन अनुमति दिन्छ। त्यसपछि वातावरणको नक्सा बनाउन, पार्श्व आन्दोलनलाई समर्थन गर्न र बहुमूल्य प्रमाणहरू पहिचान गर्न व्यापक जासूसी गरिन्छ।

क्लाउड क्रेडेन्सियल कटाई र गोप्य खोज

यी आक्रमणहरूको प्रमुख केन्द्रबिन्दु क्लाउड वातावरण भित्र प्रमाण चोरी हो। पहिचान टोकनहरू प्राप्त गर्न र तिनीहरूको पहुँच विस्तार गर्न प्रयासमा Azure, AWS, Google Cloud Platform, र Tencent Cloud को लागि उदाहरण मेटाडेटा सेवाहरू क्वेरी गर्ने धम्की दिने व्यक्तिहरू अवलोकन गरिएको छ। तिनीहरूले संवेदनशील सामग्री निकाल्न अनुकूलन स्क्रिप्टहरूसँगै TruffleHog र Gitleaks जस्ता गोप्य-स्क्यानिङ उपकरणहरू पनि प्रयोग गर्छन्। यसमा OpenAI API कुञ्जीहरू, Databricks टोकनहरू, Kubernetes सेवा खाता गोप्यहरू, र Azure CLI र Azure विकासकर्ता CLI टूलिङ मार्फत प्राप्त पहुँच टोकनहरू जस्ता AI र क्लाउड-नेटिभ प्रमाणहरू चोर्ने प्रयासहरू समावेश छन्।

Next.js एक्सप्लोइटेसन र डाटा एक्सफिल्ट्रेसन

सम्बन्धित अभियानमा, अनुसन्धानकर्ताहरूले CVE-2025-29927 र CVE-2025-66478 सहित धेरै Next.js त्रुटिहरूको शोषणको दस्तावेजीकरण गरे, पछिल्लो उही React2Shell मुद्दाको लागि पहिलेको पहिचानकर्ता थियो। यी आक्रमणहरूले कन्फिगरेसन फाइलहरू, वातावरण चरहरू, SSH कुञ्जीहरू, क्लाउड प्रमाणहरू, Git प्रमाणीकरण डेटा, शेल कमाण्ड इतिहास, र passwd र shadow जस्ता संवेदनशील प्रणाली फाइलहरू व्यवस्थित रूपमा निकाल्नमा केन्द्रित थिए। मालवेयरले दृढता पनि स्थापित गर्दछ, SOCKS5 प्रोक्सी स्थापना गर्दछ, पोर्ट 888 मा 67.217.57.240 मा रिभर्स शेल खोल्छ, र थप कमजोर लक्ष्यहरूको लागि इन्टरनेट खोजी गर्न React स्क्यानर तैनाथ गर्दछ।

अपरेशन PCPcat: स्केल र प्रभाव

अपरेशन PCPcat नामले ट्र्याक गरिएको संयुक्त गतिविधिले पहिले नै ५९,१२८ सर्भरहरू ह्याक गरिसकेको विश्वास गरिन्छ। विश्लेषकहरूले यो अभियानलाई ठूलो मात्रामा गुप्तचर सङ्कलन र औद्योगिक डेटा एक्सफिल्टरेशनको सङ्केतको रूपमा मूल्याङ्कन गर्छन्। हालको मापनले सुझाव दिन्छ कि १११,००० भन्दा बढी IP ठेगानाहरू React2Shell शोषणको लागि जोखिममा छन्, जसको सबैभन्दा बढी सांद्रता संयुक्त राज्य अमेरिकामा छ, त्यसपछि जर्मनी, फ्रान्स र भारत छन्। सङ्कलन गरिएको टेलिमेट्रीले थप संकेत गर्दछ कि अमेरिका, भारत, बेलायत, सिंगापुर र नेदरल्याण्ड जस्ता क्षेत्रहरूमा सयौं दुर्भावनापूर्ण IP ठेगानाहरूले २४ घण्टाको अवधि भित्र शोषण प्रयासहरूमा सक्रिय रूपमा भाग लिएका छन्।