SysdigはReact Server ComponentsのRCE脆弱性「React2Shell」を悪用し、Next.js向けに展開される多段階インプラント「EtherRAT」を分析している。

EtherRATはEthereumスマートコントラクトを利用したブロックチェーンC2とファイルレス実行を特徴とし、偵察・認証情報と暗号資産ウォレット窃取・React2Shellワームによる自己拡散・Webサーバーのリダイレクト乗っ取り・SSH鍵バックドアという5つのペイロードで構成される。CIS諸国を除外するロケールチェックやxss.proへの誘導、webhook.siteの利用から、北朝鮮関与説に加えCIS拠点オペレーターや偽旗の可能性も指摘され、帰属は不明確のまま。

いずれにせよReact2Shellは武器化されており、脆弱なNext.js運用組織は金銭窃取と継続的侵入のリスクにさらされている。