![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Sfruttamento della vulnerabilità React2Shell distribuisce miner di criptovalute e nuovi malware in diversi settori
Una grave vulnerabilità nei React Server Components (RSC) continua ad essere sfruttata attivamente da malintenzionati per diffondere cryptominer e diverse famiglie di malware mai osservate in precedenza, secondo nuove analisi dei ricercatori di sicurezza.
La falla, nota come React2Shell e identificata come CVE-2025-55182, consente a un attaccante di eseguire codice arbitrario da remoto senza autenticazione su server vulnerabili. Questa vulnerabilità si verifica in versioni di React Server Components react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack nelle release antecedenti alle versioni corrette.
I ricercatori della società Huntress hanno osservato che gli aggressori stanno approfittando di questo difetto per compromettere molte organizzazioni – in particolare nei settori dell’edilizia e dell’intrattenimento – sfruttando software vulnerabile come applicazioni basate su Next.js.
In alcuni attacchi documentati, il vettore iniziale consiste nell’invio di un semplice script shell che, una volta eseguito, scarica e avvia un miner di criptovalute XMRig o altri componenti malevoli. Altri payload includono:
- PeerBlight – un backdoor per Linux che implementa varie funzioni di comunicazione e persistenza;
- CowTunnel – un tunnel proxy inverso che stabilisce connessioni verso server di controllo esterni;
- ZinFoq – un impianto post-sfruttamento in Go con capacità di shell remota, esfiltrazione di file, e pivoting;
- Script dropper come d5.sh e fn22.sh, responsabili dell’installazione di framework di comando e controllo (C2) e aggiornamenti.
Secondo Huntress, l’attività malevola mostra un modello di sfruttamento automatizzato consistente, con indicatori simili di tentativi di compromissione e infrastrutture C2 ripetute tra gli endpoint colpiti.
La Shadowserver Foundation ha segnalato che più di 165.000 indirizzi IP e oltre 644.000 domini con codice vulnerabile sono stati identificati nel mondo, sottolineando l’ampia superficie di attacco derivante dalla diffusione di software vulnerabile.
Raccomandazioni chiave:
- Applicare immediatamente le patch disponibili, aggiornando i pacchetti RSC alle versioni corrette;
- Verificare l’esposizione di applicazioni basate su React/Next.js e ridurne l’accesso esterno non necessario;
- Monitorare anomalie di rete e attività sospette di C2/exec di processi da servizi web;
- Considerare l’uso di firewall applicativi e meccanismi di filtraggio per limitare le richieste non autorizzate ai punti vulnerabili.
SOC
Altri comunicati stampa di questa categoria
- Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli (19/02/2026, 23:00)
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)