- Fallo crítico de React2Shell (CVE-2025-55182) explotado por grupos chinos y norcoreanos
- Corea del Norte implementa el implante EtherRAT con Ethereum C2, persistencia de Linux y tiempo de ejecución de Node.js
- Los investigadores instan a actualizaciones urgentes para las versiones parcheadas de React 19.0.1, 19.1.2 y 19.2.1
Los chinos no son los únicos que explotan React2Shell, una vulnerabilidad de máxima gravedad que se descubrió recientemente en React Server Components (RSC).
Están llegando informes que detallan que los actores de amenazas patrocinados por el estado de Corea del Norte están haciendo lo mismo. La única diferencia es que los norcoreanos están utilizando la falla para desplegar un novedoso mecanismo de persistencia. malware.
A fines de la semana pasada, el equipo de React publicó un aviso de seguridad que detalla un error de autenticación previa en múltiples versiones de múltiples paquetes, que afecta a RCS. Las versiones afectadas incluyen 19.0, 19.1.0, 19.1.1 y 19.2.0, reaccionar-server-dom-webpack, reaccionar-server-dom-parcel y reaccionar-server-dom-turbopack. El error, ahora denominado 'React2Shell', se rastrea como CVE-2025-55182 y se le asigna una puntuación de gravedad de 10/10 (crítico).
Ataques más sofisticados
Dado que React es una de las bibliotecas de JavaScript más populares que existen y alimenta gran parte de Internet hoy en día, los investigadores advirtieron que la explotación era inminente e instaron a todos a aplicar la solución sin demora y actualizar sus sistemas a las versiones 19.0.1, 19.1.2 y 19.2.1.
Apenas unos días después, los investigadores informaron haber visto Grupos vinculados a ChinaEarth Lamia y Jackpot Panda, que utilizaron el error para apuntar a organizaciones en diferentes verticales, y Sysdig regresaron con resultados similares.
Este equipo de seguridad encontró un nuevo implante de una aplicación Next.js comprometida denominada EtherRAT. En comparación con lo que estaban haciendo Earth Lamia y Jackpot Panda, EtherRAT es «mucho más sofisticado» y representa un implante de acceso persistente que combina las técnicas de al menos tres campañas documentadas.
«EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), implementa cinco mecanismos independientes de persistencia de Linux y descarga su propio tiempo de ejecución Node.js desde nodejs.org», explicaron los investigadores. «Esta combinación de capacidades no se había observado previamente en la explotación de React2Shell».
Supuestamente, hay bastantes cosas aquí que se parecen a Contagious Interview, una infame campaña de piratería norcoreana que consiste en invitar a objetivos de alto valor a entrevistas de trabajo falsas, durante las cuales se despliegan diferentes ladrones de información.
A través de Las noticias de los piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes sigue a TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
