React2Shell攻撃に新たな中国ハッキンググループが関与
週末、Googleの脅威インテリジェンスチームは、最大深刻度の「React2Shell」リモートコード実行の脆弱性を悪用する攻撃に、さらに5つの中国ハッキンググループが関与していることを発表しました。この脆弱性(CVE-2025-55182)は、ReactのオープンソースJavaScriptライブラリに影響を与え、認証されていない攻撃者が単一のHTTPリクエストでReactおよびNext.jsアプリケーション上で任意のコードを実行することを可能にします。
深刻な脆弱性「React2Shell」とは
この脆弱性は、React Server Components(RSC)を使用するReactパッケージ(react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack)のデフォルト設定に影響を与えます。過去1年間にリリースされたReactバージョン19.0、19.1.0、19.1.1、19.2.0のみが影響を受けます。攻撃が開始された後、Palo Alto Networksは、中国政府系脅威アクターに関連するインシデントを含む数十の組織が侵害されたと報告しました。
攻撃者はこの脆弱性を悪用し、コマンド実行やAWS設定ファイル、認証情報、その他の機密情報の窃取を行っています。Amazon Web Services(AWS)のセキュリティチームも、中国関連のEarth LamiaおよびJackpot Panda脅威アクターが、脆弱性開示から数時間以内にReact2Shellを悪用し始めたと警告しました。
Googleが新たに特定した5つの中国サイバー諜報グループ
Google脅威インテリジェンスグループ(GTIG)は、12月3日に脆弱性が開示されて以来続いているReact2Shell攻撃に、新たに以下の5つの中国サイバー諜報グループが加わったことを報告しました。
- UNC6600(MINOCATトンネリングソフトウェアを展開)
- UNC6586(SNOWLIGHTダウンローダー)
- UNC6588(COMPOODバックドアペイロード)
- UNC6603(HISONICバックドアのアップデート版)
- UNC6595(ANGRYREBEL.LINUXリモートアクセス型トロイの木馬)
GTIGの研究者たちは、「Next.jsのような人気のフレームワークでReact Server Components(RSC)が使用されているため、この問題に対して脆弱なシステムが多数存在します」と述べています。
世界的な影響と警戒
GTIGはまた、地下フォーラムでCVE-2025-55182に関する多数の議論を観察しており、そこでは脅威アクターがスキャンツール、概念実証(PoC)コードへのリンク、およびこれらのツールの使用経験を共有していました。これらの攻撃を調査する中で、GTIGはイランの脅威アクターもこの脆弱性を標的にし、金銭的動機を持つ攻撃者がパッチ未適用のシステムにXMRig暗号通貨マイニングソフトウェアを展開していることを発見しました。
Shadowserver Internet watchdogグループは、現在116,000以上のIPアドレスがReact2Shell攻撃に対して脆弱であると追跡しており、そのうち80,000以上が米国に集中しています。GreyNoiseも、過去24時間で670以上のIPアドレスがReact2Shellリモートコード実行の脆弱性を悪用しようとしていることを観察しており、主に米国、インド、フランス、ドイツ、オランダ、シンガポール、ロシア、オーストラリア、英国、中国から発信されています。
12月5日には、Cloudflareがグローバルなウェブサイト停止をReact2Shell脆弱性に対する緊急緩和策に関連付けたと発表しました。