بوفيه البرمجيات الخبيثة: كيف فتح React2Shell الباب أمام موجة من الجرائم الإلكترونية

ثغرة حرجة واحدة في React أطلقت سيلًا من الهجمات، مما مكّن القراصنة من نشر مجموعة متنوعة من البرمجيات الخبيثة ضد آلاف المؤسسات حول العالم.

بدأ الأمر بهدوء: ثغرة واحدة في React، الإطار مفتوح المصدر المحبوب الذي يشغّل كل شيء من Netflix إلى Airbnb. خلال أيام من الكشف العلني عنها، انقض المجرمون الإلكترونيون والقراصنة المدعومون من الدول، وأطلقوا موجة من الهجمات التي سرعان ما تحولت إلى واحدة من أكثر حملات توزيع البرمجيات الخبيثة تنوعًا في الذاكرة الحديثة. وبينما يسارع المدافعون لاحتواء التداعيات، تحقق Netcrook في كيفية تحول ثغرة "React2Shell" إلى منصة انطلاق لانتشار الجريمة الإلكترونية عالميًا.

حقائق سريعة

React2Shell (CVE-2025-55182) تتيح تنفيذ تعليمات برمجية عن بُعد بدون مصادقة في React 19 وأطر عمل شهيرة أخرى.
تم تحديد أكثر من 165,000 عنوان IP و644,000 نطاق على أنها تشغّل كودًا معرضًا للخطر.
ينشر المهاجمون مجموعة واسعة من البرمجيات الخبيثة: أدوات تعدين العملات، الأبواب الخلفية، RATs، التروجان، وسارقي بيانات الاعتماد.
تورطت عصابات الجريمة الإلكترونية ومجموعات مدعومة من الصين وكوريا الشمالية.
عجلت الحكومة الأمريكية بموعد تصحيح الثغرة مع تصاعد الاستغلال عالميًا.

تشريح الاستغلال

React2Shell، التي تُتابع رسميًا تحت اسم CVE-2025-55182، هي ثغرة حرجة في React الإصدار 19 - وخاصة في الإعدادات التي تستخدم React Server Components. لكن نطاق التأثير لا يتوقف هنا: Next.js وWaku وReact Router وRedwoodSDK تأثرت أيضًا. تتيح الثغرة للمهاجمين إرسال طلبات HTTP مصممة خصيصًا وتحقيق تنفيذ تعليمات برمجية عن بُعد - دون الحاجة إلى مصادقة.

في البداية، تم تحديد حوالي 77,000 نظام معرض للخطر فقط، لكن هذا الرقم تضاعف بسرعة مع تعمق الباحثين في التحقيق. ومع اعتماد ملايين المواقع الشهيرة على React، كان سطح الهجوم واسعًا - ولم يضيع القراصنة الوقت.

بوفيه البرمجيات الخبيثة: من أدوات التعدين إلى برمجيات الدول

خلال ساعات من الكشف، بدأ جهات تهديد صينية في استغلال الثغرة. تصاعدت الهجمات بسرعة، وجذبت مجموعة من المجرمين الإلكترونيين ومجموعات الدول. ووفقًا لـ Palo Alto Networks وSysdig، استخدم قراصنة مرتبطون بكوريا الشمالية React2Shell لنشر EtherRAT، وهو باب خلفي متخفي. نشرت مجموعات صينية BPFDoor وبرمجيات خبيثة شائعة مثل Cobalt Strike وNoodleRAT وغيرها. كما لوحظ أن وسطاء الوصول الأولي - الذين يبيعون الوصول المخترق لمجرمين آخرين - استغلوا الثغرة لتوزيع تروجان SnowLight وVShell.

في الوقت نفسه، وثقت Huntress وWiz حملات استهدفت البنية التحتية السحابية. اجتاحت أدوات تعدين العملات وسارقي بيانات الاعتماد وبرمجيات البوت نت مثل Kaiji وZinFoq الأنظمة المعرضة للخطر. حتى أن المهاجمين استخدموا الاستغلال لسرقة بيانات اعتماد السحابة والمطورين، ونشر الأبواب الخلفية، وإنشاء وصول دائم - أحيانًا عبر webshells تفاعلية أو أنفاق عكسية مثل CowTunnel.

سباق مع الزمن

أدركت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) التهديد، وأضافت React2Shell إلى قائمة الثغرات المستغلة المعروفة ورفعت موعد التصحيح مع تصاعد الهجمات. ويحذر خبراء الأمن من أن التأثير الحقيقي قد لا يزال يتكشف، حيث لا تزال العديد من المؤسسات غير مدركة أن أنظمتها معرضة للخطر.

ويكيكروك: معجم المصطلحات

تنفيذ التعليمات البرمجية عن بُعد (RCE): قدرة المهاجم على تشغيل تعليمات برمجية عشوائية على نظام الهدف من موقع بعيد، وغالبًا ما يؤدي ذلك إلى اختراق النظام بالكامل.
الباب الخلفي: طريقة خفية لتجاوز المصادقة أو ضوابط الأمان العادية للوصول إلى النظام، وغالبًا ما تُستخدم للوصول غير المصرح به بشكل دائم.
أداة تعدين العملات: برمجية خبيثة مصممة لاستخدام موارد حاسوب الضحية سرًا لتعدين العملات الرقمية لصالح المهاجم.
وسيط الوصول الأولي: مجرم إلكتروني متخصص في الحصول على وصول وبيع الأنظمة المخترقة لجهات تهديد أخرى.
ويب شيل: سكريبت خبيث يُرفع إلى خادم ويب، مما يسمح للمهاجمين بالتحكم عن بُعد في الخادم عبر واجهة ويب.