O React2Shell está no centro de um alerta de segurança que preocupa equipes de desenvolvimento e infraestrutura. A vulnerabilidade CVE-2025-55182 afeta Componentes de Servidor React (RSC) e permite execução remota de código sem autenticação, um cenário que amplia o risco para aplicações modernas baseadas em React e Next.js. A descoberta desencadeou ataques em larga escala contra servidores Linux, com instalação de mineradores e backdoors sofisticados.
Este artigo analisa a vulnerabilidade React2Shell, explica como ela está sendo usada para comprometer servidores web e detalha as novas famílias de malware (PeerBlight, CowTunnel e ZinFoq) observadas nesses ataques. O objetivo é reforçar a urgência da mitigação imediata e orientar desenvolvedores e administradores sobre o impacto real dessa falha.
A adoção crescente de RSC e o modelo híbrido de renderização do Next.js trazem benefícios de performance, mas aumentam a superfície de ataque. Em uma falha como a CVE-2025-55182, o atacante não depende de credenciais ou interação humana, o que transforma qualquer instância vulnerável em um alvo crítico.
O que é o react2shell e a ameaça CVE-2025-55182
A vulnerabilidade CVE-2025-55182 é explorada por meio de técnicas amplamente referidas como React2Shell, que afetam diretamente o mecanismo dos Componentes de Servidor React. O problema atinge implementações como react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. Trata-se de uma falha de RCE sem autenticação, permitindo que um invasor execute comandos arbitrários apenas com requisições manipuladas enviadas a endpoints públicos. O impacto é crítico porque o invasor pode iniciar processos, escrever arquivos e modificar o ambiente sem barreiras adicionais.
Um alvo de alto valor: instâncias do Next.js
Aplicações baseadas em Next.js, especialmente aquelas que utilizam RSC, se tornaram alvos frequentes em ataques relacionados ao React2Shell. Os operadores da campanha usam ferramentas automáticas para varrer a internet em busca de instâncias vulneráveis. Elas são identificadas por padrões de respostas HTTP e características típicas do ecossistema React Server Components. Após confirmar a vulnerabilidade, os atacantes executam comandos iniciais para validação e rapidamente passam para o download e execução de payloads Linux.
Anatomia do ataque: de mineradores a backdoors Linux
Os primeiros ataques envolvendo a CVE-2025-55182 instalaram XMRig, um minerador amplamente utilizado em campanhas de monetização ilícita. Contudo, essa fase evoluiu rapidamente. Grupos passaram a utilizar o acesso inicial para instalar malwares mais avançados capazes de controle remoto, persistência e evasão. Essa etapa introduz as famílias PeerBlight, CowTunnel e ZinFoq, que transformam o servidor comprometido em um ponto de acesso permanente.
PeerBlight: o backdoor camuflado e o DGA
O PeerBlight é o componente mais sofisticado da campanha. Após a invasão, o malware se camufla como o processo legítimo ksoftirqd, reduzindo a chance de detecção visual. Ele cria serviços no systemd, garantindo persistência mesmo após reinicialização. O canal de comunicação com o atacante é especialmente robusto, já que utiliza um DGA baseado na rede DHT do BitTorrent. Com o prefixo característico LOLlolLOL, o malware cria dinamicamente identificadores e pontos de contato, o que dificulta bloqueios por DNS ou firewalls. O PeerBlight oferece funcionalidades de execução remota, transferência de arquivos e implantação de novos módulos.
CowTunnel e ZinFoq: pivoteamento e pós-exploração
O CowTunnel atua como um módulo de pivoteamento e evasão. Ele estabelece um proxy reverso que permite ao invasor acessar portas internas e serviços que normalmente não estariam expostos. Isso abre caminho para movimentação lateral em redes corporativas.
Já o ZinFoq, escrito em Go, executa tarefas de pós-exploração. Ele fornece um shell interativo, coleta informações detalhadas do sistema, lista processos, manipula arquivos e funciona como um carregador modular para novas funcionalidades. Sua resistência a análises é reforçada por mecanismos de detecção de sandbox e técnicas de criptografia de carga.
Proteção imediata: como mitigar a ameaça
Diante da gravidade da CVE-2025-55182, é essencial atualizar imediatamente qualquer ambiente que utilize react-server-dom-webpack, react-server-dom-parcel ou react-server-dom-turbopack. Ambientes Next.js com RSC devem verificar versões instaladas e garantir a aplicação dos patches mais recentes.
Além da atualização, recomenda-se revisar logs de execução, buscar processos suspeitos como “ksoftirqd”, investigar serviços recém-criados no systemd e monitorar conexões externas incomuns. Havendo indícios de infecção, é aconselhável reinstalar o servidor e rotacionar segredos críticos.
A urgência é absoluta. Equipes de desenvolvimento e DevOps devem compartilhar este alerta internamente para garantir que a mitigação seja aplicada sem atrasos, reduzindo a exposição a ataques que continuam em andamento.
