React sotto assedio: due soli IP guidano il 56% degli attacchi alla falla “React2Shell”

A due mesi dalla scoperta della vulnerabilità critica CVE-2025-55182 (nota come React2Shell), il panorama delle minacce è cambiato drasticamente. Se inizialmente gli attacchi provenivano da migliaia di fonti diverse, un nuovo report di GreyNoise rivela che l’attività si è ora consolidata nelle mani di pochissimi attori altamente automatizzati.

La concentrazione degli attacchi Tra il 26 gennaio e il 2 febbraio 2026, l’intelligence di GreyNoise ha rilevato che solo due indirizzi IP sono stati responsabili del 56% di tutti i tentativi di sfruttamento a livello globale. Nonostante siano stati censiti oltre 1.000 IP unici nel periodo, la stragrande maggioranza del traffico (circa 800.000 sessioni) è riconducibile a queste due sole fonti:

1. 193.142.147[.]209 (34% degli attacchi): Specializzato nel deployment di miner di criptovalute (XMRig).
2. 87.121.84[.]24 (22% degli attacchi): Focalizzato sull’apertura di reverse shell interattive per il controllo remoto dei server.

Perché React2Shell è così pericolosa? La vulnerabilità ha un punteggio CVSS di 10.0 (il massimo della gravità). Colpisce il protocollo “Flight” dei React Server Components (RSC), permettendo a un attaccante non autenticato di eseguire codice arbitrario sul server inviando una singola richiesta HTTP POST malevola.

I bersagli principali sono le applicazioni che espongono erroneamente su Internet le porte di sviluppo (3000, 3001, 3002), rendendo gli endpoint RSC vulnerabili alla deserializzazione insicura.

Evoluzione della minaccia Il passaggio da scansioni casuali a campagne massive gestite da pochi IP indica che i gruppi criminali hanno industrializzato l’exploit. La minaccia non è più solo teorica: i payload osservati non sono semplici test, ma attacchi attivi volti alla monetizzazione immediata o all’intrusione profonda nei sistemi cloud.

Consigli per la sicurezza Per proteggere le infrastrutture, è imperativo aggiornare React alle versioni patchate (19.0.1+, 19.1.2+, 19.2.1+) e Next.js alle versioni stabili più recenti. GreyNoise consiglia inoltre di bloccare preventivamente i due IP dominanti e monitorare ogni traffico anomalo verso le porte dei server React.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.