中国黑客已开始利用新披露的React2Shell漏洞

两个与中国有关联的黑客组织已被观察到，在React服务器组件（RSC）中新披露的安全漏洞成为公开信息后的数小时内，就开始将其武器化。

该漏洞编号为CVE-2025-55182（CVSS评分：10.0），又名React2Shell，它允许未经身份验证的远程代码执行。此漏洞已在React版本19.0.1、19.1.2和19.2.1中得到修复。

根据亚马逊网络服务（AWS）分享的一份新报告，两个已知与中国有关联的威胁行为者——Earth Lamia和Jackpot Panda——被观察到试图利用这个最高严重级别的安全漏洞。

亚马逊综合安全首席信息安全官CJ Moses在一份分享给The Hacker News的报告中表示：“我们对AWS MadPot蜜罐基础设施中利用尝试的分析发现，来自历史上与已知的中国国家关联威胁行为者有关的IP地址和基础设施的利用活动。”

具体来说，这家科技巨头表示，他们识别出与Earth Lamia相关的基础设施。Earth Lamia是一个与中国有关联的组织，今年早些时候被指利用一个关键的SAP NetWeaver漏洞（CVE-2025-31324）发动攻击。该黑客组织曾针对拉丁美洲、中东和东南亚的金融服务、物流、零售、IT公司、大学和政府组织等多个行业部门。

攻击企图还源自与另一个名为Jackpot Panda的中国关联网络威胁行为者相关的基础设施。该组织主要针对在东亚和东南亚从事或支持在线赌博业务的实体。

根据CrowdStrike的信息，Jackpot Panda据评估至少自2020年以来就一直活跃，并试图利用受信任的第三方关系来部署恶意植入程序并获得初始访问权限。值得注意的是，该威胁行为者与2022年9月一款名为Comm100的聊天应用的供应链攻击有关。ESET将这一活动追踪为Operation ChattyGoblin。

此后有证据表明，一家名为I-Soon的中国黑客承包商可能参与了此次供应链攻击，依据是基础设施存在重叠。有趣的是，该组织在2023年发动的攻击主要针对中文使用者，暗示了可能存在的国内监控行为。CrowdStrike在去年发布的全球威胁报告中指出：“从2023年5月开始，攻击者使用了一个针对CloudChat的木马化安装程序。CloudChat是一款在中国大陆非法中文赌博社区中流行的中国聊天应用。从CloudChat网站提供的木马化安装程序包含了一个多阶段过程的第一阶段，最终会部署XShade——一种新颖的植入程序，其代码与Jackpot Panda独特的CplRAT植入程序有重叠。”

亚马逊表示，他们还检测到威胁行为者利用CVE-2025-55182以及其他N-day漏洞，包括NUUO Camera中的一个漏洞（CVE-2025-1338，CVSS评分：7.3），这表明攻击者正进行更广泛的尝试来扫描互联网上未打补丁的系统。

观察到的活动包括尝试运行发现命令（例如whoami）、写入文件（"/tmp/pwned.txt"）以及读取包含敏感信息的文件（例如"/etc/passwd"）。

Moses说：“这展示了一种系统性的方法：威胁行为者监控新的漏洞披露，迅速将公开的漏洞利用整合到他们的扫描基础设施中，并同时针对多个通用漏洞与暴露（CVE）开展广泛的攻击活动，以最大化其找到易受攻击目标的机会。”

Cloudflare将服务中断归咎于React2Shell补丁

这一进展出现之际，Cloudflare经历了一次短暂但广泛的服务中断，导致网站和在线平台返回"500 Internal Server Error"消息。

这家网络基础设施提供商周五在一份声明中表示：“对Cloudflare Web应用防火墙解析请求方式所做的一项更改，导致今早Cloudflare网络有几分钟无法使用。这不是一次攻击；此次更改是我们的团队为了帮助缓解本周披露的React服务器组件全行业漏洞而部署的。”