Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Scritto da
Kevin Poireault
I ricercatori di sicurezza di Sysdig hanno osservato nuove campagne che sfruttano React2Shell e che sembrano avere i tratti distintivi degli hacker nordcoreani.
React2Shell è una vulnerabilità di esecuzione di codice remoto nei componenti React Server (RSC). Identificata come CVE-2025-55182, la falla ha un punteggio CVSS di 10,0, con un livello di gravità massimo.
Divulgata pubblicamente il 3 dicembre, la vulnerabilità ha un impatto sulla versione 19 della libreria open source React per la creazione di interfacce utente per applicazioni, nonché su molti altri framework correlati, tra cui Next.js, Waku, React Router e RedwoodSDK.
Subito dopo la sua pubblicazione, Amazon Web Services (AWS) ha confermato che gruppi di minaccia come Earth Lamia e Jackpot Panda, entrambi legati agli interessi dello Stato cinese, erano tra coloro che avevano lanciato tentativi di sfruttamento.
Sono stati osservati anche altri autori di minacce che sfruttavano React2Shell, tra cui attori opportunistici che installavano miner di criptovalute (principalmente XMRig) e raccoglitori di credenziali che prendevano di mira i file di configurazione e le variabili ambientali di AWS.
Ora, il Sysdig Threat Research Team (TRT) ha affermato di aver scoperto un nuovo impianto da un'applicazione Next.js compromessa che fornisce EtherRAT.
L'analisi del Sysdig TRT, pubblicata l'8 dicembre, rivela una significativa sovrapposizione con gli strumenti del cluster di campagne legate alla Corea del Nord denominato "Contagious Interview". Ciò suggerisce che gli attori nordcoreani hanno iniziato a sfruttare React2Shell o che è in atto una sofisticata condivisione di strumenti tra gruppi di stati nazionali.
Spiegazione della catena di attacco React2Shell-EtherRAT
EtherRAT è un trojan di accesso remoto (RAT) che sfrutta gli smart contract di Ethereum per la risoluzione di comando e controllo (C2), implementa cinque meccanismi di persistenza Linux indipendenti e scarica il proprio runtime Node.js da nodejs.org.
"Invece di codificare in modo rigido un indirizzo del server C2, che può essere bloccato o sequestrato, il malware interroga un contratto on-chain per recuperare l'URL C2 corrente", spiega il rapporto di Sysdig.
La catena di attacco della campagna dannosa che sfrutta l'exploit React2Shell segue quattro fasi, ciascuna progettata per stabilire un controllo persistente ed evasivo sul sistema compromesso:
Segnali di sofisticatezza o cooperazione dei gruppi nazionali-statali
Queste campagne presentano somiglianze con numerose campagne documentate, tra cui quelle legate alla Corea del Nord.
Ad esempio, il modello di caricamento crittografato utilizzato in queste campagne EtherRAT è molto simile al malware BeaverTail affiliato alla Corea del Nord utilizzato nelle campagne Contagious Interview.
Sysdig ha osservato che Google Threat Intelligence Group (GTIG) ha recentemente attribuito l'uso del malware BeaverTail e delle tecniche C2 basate su blockchain all'autore della minaccia nordcoreana UNC5342.
"Tuttavia, senza una sovrapposizione diretta del codice, non possiamo confermare che l'autore della minaccia dietro EtherRAT sia lo stesso. Date alcune delle differenze significative elencate sopra, ciò potrebbe rappresentare tecniche condivise da più gruppi di minaccia affiliati alla Repubblica Popolare Democratica di Corea (RPDC)", hanno scritto i ricercatori di Sysdig.
"In alternativa, mentre gli attori della RPDC potrebbero aver adottato React2Shell come nuovo vettore di accesso iniziale, è possibile che un altro attore sofisticato stia combinando tecniche provenienti da più campagne documentate per complicare l'attribuzione", hanno aggiunto.
Se l'attribuzione verrà confermata, queste nuove campagne rappresenteranno una significativa evoluzione nelle tecniche di guerra, in cui gli attori nordcoreani barattano un carico utile più piccolo per ridurre il rischio di rilevamento.
"Mentre Lazarus Group e altri autori di minacce legate alla Corea del Nord storicamente integrano Node.js nei loro payload, il campione da noi identificato scarica Node.js dalla distribuzione ufficiale nodejs.org", hanno spiegato i ricercatori.
Secondo i ricercatori di Sysdig, EtherRAT segna una "significativa evoluzione nello sfruttamento di React2Shell", allontanandosi dal tipico cryptomining opportunistico e dal furto di credenziali verso un "accesso persistente e furtivo progettato per operazioni a lungo termine".
Il team ha sottolineato che la "combinazione di C2 basato su blockchain, persistenza multi-vettore aggressiva e un meccanismo di aggiornamento del payload" del malware riflette un livello di sofisticazione "mai osservato in precedenza nei payload di React2Shell". Ciò suggerisce un modello di minaccia più calcolato e resiliente, hanno osservato.
Potrebbe anche piacerti
React2Shell sotto sfruttamento attivo da parte degli hacker di China-Nexus
Vulnerabilità di SharePoint 'ToolShell' sfruttate dagli hacker degli stati nazionali cinesi
La Corea del Nord hackera le criptovalute: più obiettivi, minori guadagni
Un gruppo informatico nordcoreano sospettato di aver violato JumpCloud
Gli hacker cinesi prendono di mira la Francia con la campagna di exploit Ivanti Zero-Day
Cosa c'è di nuovo su Infosecurity Magazine?
Assunti per hackerare: proteggere la tua azienda dalle truffe del reclutamento a distanza
La polizia sudcoreana fa irruzione a Coupang per violazione dei dati mentre il CEO si dimette
Malware scoperto in 19 estensioni di Visual Studio Code
Google corregge la falla di Zero Click Gemini Enterprise che ha esposto i dati aziendali
Gartner chiede una pausa nell'uso dei browser AI
L'Ursala dell'intelligenza artificiale vuole la tua voce
Gartner chiede una pausa nell'uso dei browser AI
Warp Panda, società cinese, prende di mira le aziende nordamericane in una campagna di spionaggio
Testato dagli hacker e approvato dai leader della sicurezza: cinque passaggi per fermare le frodi moderne
Gli hacker filorussi prendono di mira le infrastrutture critiche degli Stati Uniti in una nuova ondata
Le campagne di imitazione della Triade Smishing si espandono a livello globale
Log4Shell scaricato 40 milioni di volte nel 2025
Rivedere la CIA: sviluppare la strategia di sicurezza nella realtà condivisa SaaS
Smascherare i punti ciechi dell'intelligenza artificiale: sicurezza vs protezione nell'era dell'intelligenza artificiale di generazione
Conformità IT basata sul rischio: il caso della quantificazione del rischio informatico guidata dal business
Come le aziende di medie dimensioni possono sfruttare la sicurezza Microsoft per difese proattive
Padroneggiare l'identità e l'accesso per entità cloud non umane
Difesa informatica nell'era dell'intelligenza artificiale: anticipare le minacce senza compromettere la sicurezza
Regolamentazione dell'intelligenza artificiale: dove tracciare il limite?
Cos'è il Vibe Coding? La parola dell'anno di Collins mette in luce il ruolo e i rischi dell'intelligenza artificiale nel software
Conformità IT basata sul rischio: il caso della quantificazione del rischio informatico guidata dal business
Colmare il divario: strategie attuabili per proteggere i tuoi ambienti SaaS
Il NCSC è pronto a ritirare gli strumenti di controllo Web e di controllo della posta
Oltre i bug bonit: come i ricercatori privati stanno smantellando le operazioni ransomware
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube