لا تزال نصف الأنظمة التي تواجه الإنترنت معرضة لخلل سريع في تنفيذ التعليمات البرمجية عن بعد React دون إصلاح، حتى مع تفجر الاستغلال في أكثر من اثنتي عشرة مجموعات هجوم نشطة تتراوح من أدوات تعدين العملات المشفرة ذات المساومة إلى أدوات التسلل المرتبطة بالدولة.
هذا هو التقييم الذي قدمه ألون شيندل، نائب رئيس قسم الذكاء الاصطناعي وأبحاث التهديدات في شركة Wiz”_blank” href=”https://www.linkedin.com/posts/activity-7404544875360108544—cY/?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAC2xvMBLPggh7Z3PC8i4V4yQ0JB56a2MlM” rel=”nofollow”> يقول CVE-2025-55182 – الثغرة الأمنية من جانب خادم React المدبلجة “React2Shell” – يتم استغلالها الآن بشكل نشط على نطاق واسع، حيث قام الباحثون بتتبع ما لا يقل عن 15 مجموعة تسلل متميزة في البرية خلال الـ 24 ساعة الماضية وحدها.
وفقًا لأحدث قياسات Wiz عن بعد، فإن ما يقرب من 50 بالمائة من الموارد المكشوفة علنًا والمعروفة بأنها معرضة للخطر لا تزال تعمل بتعليمات برمجية غير مصححة، مما يمنح المهاجمين بداية مريحة.
يؤثر الخلل الخطير، الذي تم الكشف عنه لأول مرة في وقت سابق من هذا الشهر، على مكونات React Server والأطر التابعة مثل”_blank” href=”http://next.js” rel=”nofollow”>التالي.js وينبع من إلغاء التسلسل غير الآمن في حزم React من جانب الخادم، مما يسمح لمهاجم غير مصادق بإرسال طلب معد لتحقيق تنفيذ التعليمات البرمجية عن بعد. مثل السجل تم الإبلاغ عنها سابقًا،”_blank” href=”https://www.theregister.com/2025/12/05/aws_beijing_react_bug/”> وسرعان ما أثبت هذا الخطأ جاذبيته للمهاجمين بسبب انتشار React في كل مكان في مجموعات الويب الحديثة، لا سيما في البيئات المستضافة على السحابة حيث يمكن لنقطة نهاية واحدة مكشوفة أن توفر موطئ قدم في عقارات أكبر بكثير.
إن ما بدأ كمسح انتهازي وتعدين للتشفير قد اتسع الآن إلى شيء أكثر فوضوية. يقول ويز إنه يرى انقسامًا واضحًا بينهما “commodity” الاستغلال – الذي تهيمن عليه عمليات تعدين العملات المشفرة المألوفة باستخدام أدوات مثل Kinsing، وC3Pool، وأدوات التحميل المخصصة – والمزيد من مجموعات التطفل المتعمد التي تنشر أطر ما بعد الاستغلال والبرامج الضارة المخصصة.
ومن بين المجموعات التي تمت ملاحظتها الحملات المستندة إلى بايثون والتي تتنكر في شكل قطارات منجم بينما تقوم بتسريب الأسرار بهدوء، والبنية التحتية للأوامر والتحكم Sliver المستخدمة في العمليات العملية على لوحة المفاتيح، وحاقن ملفات جافا سكريبت الذي يصيب بشكل منهجي كل ملف *.js من جانب الخادم الذي يمكنه الوصول إليه. أبلغ Wiz أيضًا عن عودة ظهور متغيرات الباب الخلفي EtherRat، وهي عائلة من البرامج الضارة التي لم تعد تحظى بشعبية في السابق ولكن يبدو أنه تم التخلص منها بسبب هذه الموجة من الاستغلال.
التطور الفني يزحف أيضًا إلى الأعلى. يحاول العديد من الأوغاد جاهدين إحباط الاستجابة للحوادث من خلال التلاعب بالطوابع الزمنية وتقليل السجلات ومسح أدلة التسوية. وحذر ويز من أن هذه التقنيات المضادة للطب الشرعي تشير إلى مشغلين يتوقعون أن يتم اصطيادهم ويعتزمون البقاء.
- يلقي Cloudflare باللوم على انقطاع الخدمة يوم الجمعة بسبب الإصلاح الفاشل لـ React2shell vuln
- تحذر AWS من أن المتسللين المرتبطين ببكين يهاجمون خطأ React شديد الخطورة
- “الاستغلال وشيك” حيث أن 39 بالمائة من البيئات السحابية بها ثغرة رد فعل شديدة الخطورة
- ستقوم Meta بنقل React إلى Linux Foundation لمعالجة مخاوف هيمنة البائعين
وتؤكد شركات أمنية أخرى الآن هذا التقييم. فريق الوحدة 42 التابع لشركة بالو ألتو نتوركس”_blank” href=”https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/” rel=”nofollow”> ربط الاستغلال من CVE-2025-55182 إلى مجموعات التهديد الكورية الشمالية والصينية. ولم يصلوا إلى حد إلصاق الأمر بأي شخص شرير، لكنهم قالوا إن الأدوات والبنية التحتية المعاد استخدامها تبدو وكأنها أعمال تطفل طويلة المدى أكثر من كونها تعدين العملات المشفرة بطريقة التحطيم والاستيلاء.
“Unit 42 has identified activity that reportedly shares overlap with North Korean (DPRK) Contagious Interview tooling, though no formal attribution has occurred at this time. Contagious Interview is a campaign where threat actors associated with the DPRK pose as recruiters to install malware on the devices of job seekers in the tech industry,” قالت الوحدة 42 “Additionally, we’ve observed instances of the Linux backdoor BPFDoor. This is a Linux implant attributed to Chinese-linked threat actor Red Menshen.”
تعني هيمنة React أن التعليمات البرمجية الضعيفة لا تقتصر على مشاريع الهوايات الغامضة، ولكنها تكمن داخل أنظمة الإنتاج في الشركات الناشئة والمؤسسات والمؤسسات ذات السحابة الثقيلة على حد سواء. العديد من عمليات النشر هذه تكون مواجهة للإنترنت حسب التصميم، ولا يكون التصحيح دائمًا أمرًا سهلاً.
كما هو الحال مع العديد من نقاط الضعف الحديثة على شبكة الإنترنت، فإن الخطر لا يكمن في الثغرة نفسها فحسب، بل في مدى سرعة تحولها إلى التصنيع. لقد تجاوزت React2Shell هذا الخط بالفعل، ومع بقاء نصف السطح الضعيف مكشوفًا، ليس لدى المهاجمين حافز كبير للمضي قدمًا حتى الآن. ®