برنامج الفدية في ستين ثانية: كيف فتح React2Shell الأبواب على مصراعيها

العنوان الفرعي: ثغرة حرجة في React تغذي موجة جديدة من هجمات برامج الفدية السريعة، مما يفاجئ المدافعين عن الأنظمة.

استغرق الأمر أقل من دقيقة. هذا كل الوقت الذي احتاجه مجرمو الإنترنت لاستغلال ثغرة تم الكشف عنها حديثًا في إطار العمل الشهير React وإطلاق هجوم مدمر ببرنامج فدية على شبكة شركة. في السباق المحموم بين القراصنة والمدافعين، أصبحت ثغرة React2Shell (CVE-2025-55182) أحدث سلاح يوم الصفر - وقد بدأ بالفعل استغلالها من قبل عصابات انتهازية وجهات مدعومة من دول.

تشريح الاختراق الفوري

أثار الكشف عن React2Shell صدمة في عالم الأمن السيبراني. الثغرة، الموجودة في جوهر React - مكتبة JavaScript واسعة الاستخدام - وإطار العمل Next.js، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد على الخوادم دون الحاجة لتسجيل الدخول. خلال ساعات، بدأ قراصنة مدعومون من دول ومجرمو الإنترنت باستغلال الثغرة للتجسس، وتعدين العملات الرقمية، وبشكل متزايد، لإطلاق هجمات برامج الفدية.

في حالة موثقة حديثًا من قبل شركة الأمن S-RM، استغل المهاجمون الثغرة بدقة جراحية. بعد اختراق الخادم عبر React2Shell، نفذ الفاعل فورًا أمر PowerShell مشفر، وزرع منارة Cobalt Strike للتحكم عن بُعد. بعد ذلك، قام بتعطيل الحماية الفورية لـ Windows Defender، وأسقط حمولة برنامج الفدية Weaxor، وبدأ في تشفير الملفات - كل ذلك في أقل من دقيقة.

من يقف وراء Weaxor؟

Weaxor ليست عصابة سيبرانية متطورة. بل يُرجح أنها إعادة تسمية لمجموعة أقدم تُعرف باسم Mallox أو FARGO، سيئة السمعة لاستهدافها خوادم Microsoft SQL بأساليب عنيفة. عملية Weaxor الجديدة انتهازية بنفس القدر: لا تهتم بسرقة البيانات أو تكتيكات "الابتزاز المزدوج". بل تكتفي بتشفير ما يمكنها وترك مذكرة فدية، تطالب بمبالغ معتدلة نسبيًا. في هذا الهجوم، تم تمييز الملفات بامتداد ".WEAX" وترك تعليمات الاستعادة.

بعد التشفير، قام المهاجمون بمسح النسخ الظلية - مما يصعب الاستعادة - ومسح سجلات الأحداث لإخفاء آثارهم. وسرعان ما تعرض الجهاز المخترق لهجمات من مجرمين آخرين، كل منهم ينشر حمولة خاصة به، في إشارة واضحة إلى أن ثغرة React2Shell جعلت الخوادم الضعيفة فريسة سهلة.

للمدافعين: لا تكتفوا بالترقيع والدعاء

يحذر خبراء S-RM من أن ترقيع ثغرة React2Shell أمر بالغ الأهمية، لكنه غير كافٍ. يجب على مسؤولي الأنظمة فحص سجلات أحداث Windows وبيانات كشف نقاط النهاية بحثًا عن عمليات مشبوهة - خاصة عند تشغيل أوامر shell أو PowerShell من ملفات Node.js أو React. العلامات الحمراء تشمل الاتصالات الصادرة غير المتوقعة، وتعطيل أدوات الأمان، وارتفاع مفاجئ في استهلاك الموارد.

الخلاصة: هل هذا هو الوضع الطبيعي الجديد؟

قصة React2Shell تذكير صارخ: في عصر الاستغلال الفوري، يمكن قياس الوقت بين الكشف عن الثغرة والهجوم بالدقائق. ومع خفض عصابات برامج الفدية لحاجز الدخول وأتمتة تكتيكاتها، يجب على المدافعين التحرك بسرعة أكبر - والتعمق أكثر - من أي وقت مضى. قد يكون الاختراق التالي قد بدأ بالفعل.

ويكيكروك

Zero: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لمطور البرنامج، ولا يوجد لها إصلاح متاح، مما يجعلها ذات قيمة وخطورة عالية للمهاجمين.
Deserialization: فك التسلسل هو تحويل البيانات إلى كائنات قابلة للاستخدام في البرامج. إذا لم يتم بشكل آمن، يمكن أن يسمح للمهاجمين بحقن تعليمات ضارة في التطبيقات.
PowerShell: PowerShell هي أداة برمجة نصية في Windows تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة بشكل خفي.
Cobalt Strike: Cobalt Strike هي أداة اختبار أمني غالبًا ما يساء استخدامها من قبل القراصنة لتنفيذ هجمات إلكترونية حقيقية، مما يجعلها مصدر قلق كبير في الأمن السيبراني.
Endpoint Detection and Response (EDR): أدوات كشف واستجابة نقاط النهاية (EDR) هي أدوات أمان تراقب الحواسيب بحثًا عن نشاط مشبوه، لكنها قد تفشل في رصد الهجمات التي تتم عبر المتصفح ولا تترك ملفات.