React2Shell பாதிப்பு

பாதுகாப்பு ஆராய்ச்சியாளர்கள், React2Shell எனப்படும் முக்கியமான பாதிப்பை, Linux-அடிப்படையிலான அமைப்புகளை சமரசம் செய்ய பல அச்சுறுத்தல் நடிகர்களால் தீவிரமாக துஷ்பிரயோகம் செய்யப்படுவதாக உறுதிப்படுத்தியுள்ளனர். இந்தக் குறைபாடு, பல தீம்பொருள் குடும்பங்களை, குறிப்பாக KSwapDoor மற்றும் ZnDoor ஆகியவற்றைப் பயன்படுத்துவதற்குப் பயன்படுத்தப்படுகிறது, இது பாதிக்கப்பட்ட சூழல்களுக்கு ஆழமான மற்றும் தொடர்ச்சியான அணுகலை வழங்குகிறது. அதிக தாக்கத்தை ஏற்படுத்தும் பயன்பாட்டு குறைபாடுகள் வெளிப்படுத்தப்பட்டவுடன் எவ்வளவு விரைவாக செயல்படுத்தப்படுகின்றன என்பதை தற்போதைய சுரண்டல் எடுத்துக்காட்டுகிறது.

KSwapDoor: ஒரு திருட்டுத்தனமாக கவனம் செலுத்தும் லினக்ஸ் பின்னணி கதவு

KSwapDoor என்பது நீண்ட காலத்திற்கு மறைத்து வைக்க வடிவமைக்கப்பட்ட ஒரு கவனமாக வடிவமைக்கப்பட்ட தொலைநிலை அணுகல் கருவியாகும். இது பாதிக்கப்பட்ட சேவையகங்கள் ஒன்றையொன்று தொடர்பு கொள்ள அனுமதிக்கும் ஒரு உள் மெஷ் நெட்வொர்க்கை நிறுவுகிறது, தாக்குபவர்கள் சுற்றளவு பாதுகாப்புகளைத் தவிர்த்து, தனிப்பட்ட முனைகள் தடுக்கப்பட்டால் மீள்தன்மையை பராமரிக்க உதவுகிறது. அதன் நெட்வொர்க் போக்குவரத்து வலுவான குறியாக்கத்துடன் பாதுகாக்கப்படுகிறது, இது ஆய்வு மற்றும் கண்டறிதலை கணிசமாக கடினமாக்குகிறது. அதன் மிகவும் முக்கியமான திறன்களில் ஒன்று செயலற்ற அல்லது 'ஸ்லீப்பர்' நிலை, இது தீம்பொருளை மீண்டும் செயல்படுத்தும் ஒரு ரகசிய தூண்டுதலைப் பெறும் வரை செயலற்ற நிலையில் இருக்க அனுமதிக்கிறது, இது ஃபயர்வால் கட்டுப்பாடுகளை திறம்பட கடந்து செல்கிறது.

KSwapDoor முன்னர் BPFDoor என தவறாக அடையாளம் காணப்பட்டதாக ஆராய்ச்சியாளர்கள் தெளிவுபடுத்தினர். உண்மையில், இது ஊடாடும் ஷெல் அணுகல், தன்னிச்சையான கட்டளை செயல்படுத்தல், கோப்பு கையாளுதல் மற்றும் பக்கவாட்டு இயக்க வாய்ப்புகளுக்கான ஸ்கேன் ஆகியவற்றை ஆதரிக்கும் ஒரு லினக்ஸ் பின்புற கதவு ஆகும். மேலும் கலக்க, இது ஒரு முறையான லினக்ஸ் கர்னல் இடமாற்று டீமனாக மாறுவேடமிடுகிறது, இது வழக்கமான கணினி கண்காணிப்பின் போது சந்தேகத்தை எழுப்பும் வாய்ப்பைக் குறைக்கிறது.

ஜப்பானிய அமைப்புகளை குறிவைத்து ZnDoor பிரச்சாரங்கள்

இதற்கு இணையாக, ஜப்பானில் உள்ள நிறுவனங்கள் ZnDoor ஐ வழங்க React2Shell ஐப் பயன்படுத்தி தாக்குதல்களுக்கு இலக்காகியுள்ளன. இந்த தொலைநிலை அணுகல் ட்ரோஜன் குறைந்தது டிசம்பர் 2023 முதல் நிஜ உலக செயல்பாட்டில் காணப்படுகிறது. இந்த ஊடுருவல்கள் பொதுவாக ஒரு எளிய பாஷ் கட்டளையுடன் தொடங்கி 45.76.155.14 இல் wget ஐப் பயன்படுத்தி தொலைநிலை சேவையகத்திலிருந்து பேலோடை மீட்டெடுக்கிறது, பின்னர் அதை உள்ளூரில் செயல்படுத்துகிறது.

நிறுவப்பட்டதும், ZnDoor, தாக்குதல் நடத்துபவர் கட்டுப்படுத்தும் உள்கட்டமைப்போடு மீண்டும் இணைகிறது, இதனால் அறிவுறுத்தல்களைப் பெற்று அவற்றின்படி செயல்பட முடியும். இதன் செயல்பாடு பரந்த அளவில் உள்ளது மற்றும் சமரசம் செய்யப்பட்ட ஹோஸ்டின் மீது முழு கட்டுப்பாட்டையும் செயல்படுத்துகிறது, இது கீழே உள்ள ஆதரிக்கப்படும் கட்டளைத் தொகுப்பால் விளக்கப்பட்டுள்ளது:

• நேரடி கட்டளை செயல்படுத்தல் மற்றும் ஊடாடும் அணுகலுக்கான ஷெல் மற்றும் இன்டராக்டிவ்_ஷெல்
• கோப்பு மற்றும் கோப்பக செயல்பாடுகளுக்கான எக்ஸ்ப்ளோரர், எக்ஸ்ப்ளோரர்_கேட், எக்ஸ்ப்ளோரர்_டெலிட், எக்ஸ்ப்ளோரர்_அப்லோட் மற்றும் எக்ஸ்ப்ளோரர்_டவுன்லோட்
• ஹோஸ்ட் தகவல்களைச் சேகரிப்பதற்கான அமைப்பு
• கோப்பு நேர முத்திரைகளை மாற்ற change_timefile ஐப் பயன்படுத்தவும்.
• SOCKS5 ப்ராக்ஸியைத் தொடங்க socket_quick_startstreams
• போர்ட் ஃபார்வேர்டிங்கை நிர்வகிக்க start_in_port_forward மற்றும் stop_in_port

CVE-2025-55182 மற்றும் பல-குழு ஆயுதமயமாக்கல்

இந்த பரந்த செயல்பாடு CVE-2025-55182 இன் பரவலான சுரண்டலுடன் ஒத்துப்போகிறது, ஒரு React2Shell பாதிப்புக்கு அதிகபட்ச CVSS மதிப்பெண் 10.0 ஒதுக்கப்பட்டுள்ளது. சுரங்கப்பாதை கருவிகள், பதிவிறக்கிகள் மற்றும் பல Linux பின்கதவுகள் உட்பட பல்வேறு வகையான பேலோடுகளை விநியோகிக்க குறைந்தபட்சம் ஐந்து சீனாவுடன் இணைந்த அச்சுறுத்தல் குழுக்கள் இந்த குறைபாட்டை ஆயுதமாகக் கொண்டு வருவது கண்டறியப்பட்டுள்ளது. இவற்றில் MINOCAT, SNOWLIGHT, COMPOOD, Cloudflare Pages மற்றும் GitLab ஐப் பயன்படுத்தி முறையான போக்குவரத்தில் கலக்கும் புதுப்பிக்கப்பட்ட HISONIC மாறுபாடு மற்றும் நூடுல் RAT என்றும் அழைக்கப்படும் ANGRYREBEL இன் லினக்ஸ் பதிப்பு ஆகியவை அடங்கும்.

சுரண்டலுக்குப் பிந்தைய துஷ்பிரயோகம் மற்றும் சுமை பன்முகத்தன்மை

ஆரம்ப குறியீடு செயல்படுத்தலைப் பெற்ற பிறகு, தாக்குபவர்கள் பொதுவாக தங்கள் நிலையை வலுப்படுத்த தன்னிச்சையான கட்டளைகளை இயக்குகிறார்கள். இதில் அறியப்பட்ட கோபால்ட் ஸ்ட்ரைக் உள்கட்டமைப்பிற்கு ரிவர்ஸ் ஷெல்களை நிறுவுதல், MeshAgent போன்ற ரிமோட் கண்காணிப்பு மற்றும் மேலாண்மை கருவிகளைப் பயன்படுத்துதல், அங்கீகரிக்கப்பட்ட_கீஸ் கோப்பை மாற்றுதல் மற்றும் நேரடி ரூட் உள்நுழைவுகளை இயக்குதல் ஆகியவை அடங்கும். இந்த செயல்பாடுகளின் போது காணப்படும் கூடுதல் பேலோடுகளில் VShell, EtherRAT, ShadowPad, XMRig மற்றும் SNOWLIGHT இன் தொடர்ச்சியான பயன்பாடுகள் ஆகியவை அடங்கும்.

கண்டறிதலைத் தவிர்க்க, பிரச்சாரங்கள் பெரும்பாலும் trycloudflare.com டொமைனின் கீழ் உள்ள Cloudflare சுரங்கப்பாதை முனைப்புள்ளிகளை நம்பியுள்ளன, இது கட்டளை மற்றும் கட்டுப்பாட்டு போக்குவரத்தை முறையான சேவைகளுடன் கலக்க அனுமதிக்கிறது. பின்னர் சுற்றுச்சூழலை வரைபடமாக்குவதற்கும், பக்கவாட்டு இயக்கத்தை ஆதரிப்பதற்கும், மதிப்புமிக்க சான்றுகளை அடையாளம் காண்பதற்கும் விரிவான உளவுத்துறை மேற்கொள்ளப்படுகிறது.

மேகச் சான்று அறுவடை மற்றும் ரகசிய கண்டுபிடிப்பு

இந்தத் தாக்குதல்களின் முக்கிய கவனம் கிளவுட் சூழல்களுக்குள் நற்சான்றிதழ் திருட்டு ஆகும். அடையாள டோக்கன்களைப் பெறுவதற்கும் அவற்றின் அணுகலை விரிவுபடுத்துவதற்கும் Azure, AWS, Google Cloud Platform மற்றும் Tencent Cloud ஆகியவற்றுக்கான நிகழ்வு மெட்டாடேட்டா சேவைகளை அச்சுறுத்தல் நபர்கள் வினவுவது கண்டறியப்பட்டுள்ளது. அவர்கள் தனிப்பயன் ஸ்கிரிப்ட்களுடன் சேர்ந்து, உணர்திறன் வாய்ந்த பொருளைப் பிரித்தெடுக்க TruffleHog மற்றும் Gitleaks போன்ற ரகசிய ஸ்கேனிங் கருவிகளையும் பயன்படுத்துகின்றனர். இதில் OpenAI API விசைகள், Databricks டோக்கன்கள், Kubernetes சேவை கணக்கு ரகசியங்கள் மற்றும் Azure CLI மற்றும் Azure டெவலப்பர் CLI கருவி மூலம் பெறப்பட்ட அணுகல் டோக்கன்கள் போன்ற AI மற்றும் கிளவுட்-நேட்டிவ் நற்சான்றிதழ்களைத் திருடும் முயற்சிகளும் அடங்கும்.

Next.js சுரண்டல் மற்றும் தரவு வெளியேற்றம்

தொடர்புடைய பிரச்சாரத்தில், ஆராய்ச்சியாளர்கள் பல Next.js குறைபாடுகளைப் பயன்படுத்துவதை ஆவணப்படுத்தினர், அவற்றில் CVE-2025-29927 மற்றும் CVE-2025-66478 ஆகியவை அடங்கும், பிந்தையது அதே React2Shell சிக்கலுக்கான முந்தைய அடையாளங்காட்டியாகும். இந்தத் தாக்குதல்கள் உள்ளமைவு கோப்புகள், சுற்றுச்சூழல் மாறிகள், SSH விசைகள், கிளவுட் சான்றுகள், Git அங்கீகாரத் தரவு, ஷெல் கட்டளை வரலாறு மற்றும் passwd மற்றும் shadow போன்ற உணர்திறன் வாய்ந்த கணினி கோப்புகளை முறையாகப் பிரித்தெடுப்பதில் கவனம் செலுத்தின. தீம்பொருள் நிலைத்தன்மையையும் நிறுவுகிறது, SOCKS5 ப்ராக்ஸியை நிறுவுகிறது, போர்ட் 888 இல் 67.217.57.240 க்கு ஒரு தலைகீழ் ஷெல்லைத் திறக்கிறது, மேலும் கூடுதல் பாதிக்கப்படக்கூடிய இலக்குகளை இணையத்தில் தேட ஒரு React ஸ்கேனரைப் பயன்படுத்துகிறது.

PCPcat செயல்பாடு: அளவு மற்றும் தாக்கம்

Operation PCPcat என்ற பெயரில் கண்காணிக்கப்பட்ட ஒருங்கிணைந்த செயல்பாடு, ஏற்கனவே 59,128 சேவையகங்களை சமரசம் செய்ததாக நம்பப்படுகிறது. பெரிய அளவிலான உளவுத்துறை சேகரிப்பு மற்றும் தொழில்மயமாக்கப்பட்ட தரவு வெளியேற்றத்தின் அறிகுறியாக இந்த பிரச்சாரத்தை ஆய்வாளர்கள் மதிப்பிடுகின்றனர். தற்போதைய அளவீடுகள் 111,000 க்கும் மேற்பட்ட IP முகவரிகள் React2Shell சுரண்டலுக்கு ஆளாகக்கூடியதாக இருப்பதாகக் கூறுகின்றன, அமெரிக்காவில் அதிக செறிவு உள்ளது, அதைத் தொடர்ந்து ஜெர்மனி, பிரான்ஸ் மற்றும் இந்தியா உள்ளன. சேகரிக்கப்பட்ட டெலிமெட்ரி மேலும் குறிப்பிடுவது என்னவென்றால், அமெரிக்கா, இந்தியா, இங்கிலாந்து, சிங்கப்பூர் மற்றும் நெதர்லாந்து போன்ற பிராந்தியங்களில் நூற்றுக்கணக்கான தீங்கிழைக்கும் IP முகவரிகள் ஒரு 24 மணி நேரத்திற்குள் சுரண்டல் முயற்சிகளில் தீவிரமாக பங்கேற்றுள்ளன.