Data: Dezembro de 2025
Severidade: CRÍTICA
- Sumário Executivo
- AMEAÇA 1: Vulnerabilidade React2Shell (CVE-2025-55182)
- 1.1 Descrição Técnica
- 1.2 Exploração Ativa em Campo
- 1.3 Medidas de Correção URGENTES
- 1.4 Medidas Preventivas com a Rainforest.tech
- AMEAÇA 2: Extensões Maliciosas no VSCode Marketplace
- 2.1 Descrição do Problema
- 2.2 Táticas de Ataque Observadas
- 2.3 Extensões Maliciosas Identificadas (Exemplos Recentes)
- 2.4 Medidas de Correção e Prevenção
- 2.5 Proteção com a Rainforest.tech
- AMEAÇA 3: Ataques à Supply Chain – Pacotes Maliciosos em npm e PyPI
- 3.1 Panorama da Ameaça
- 3.2 Táticas de Ataque Comuns
- 3.3 Payloads Maliciosos Típicos
- 3.4 Indicadores de Pacotes Maliciosos
- 3.5 Medidas de Correção e Prevenção
- 3.6 Proteção Abrangente com a Rainforest.tech
- CONCLUSÃO E RECOMENDAÇÕES FINAIS
- Prioridades Estratégicas
Sumário Executivo
Este boletim técnico cobre três vetores de ataque críticos que estão impactando organizações no mundo todo: a vulnerabilidade React2Shell (CVE-2025-55182), explorada ativamente por grupos APT chineses; extensões maliciosas no VSCode Marketplace comprometendo ambientes de desenvolvimento; e a escalada de ataques à supply chain de software por meio de pacotes maliciosos em npm e PyPI.
Impacto Estimado:
- Mais de 77.000 endereços IP vulneráveis ao React2Shell
- 30+ organizações já comprometidas, incluindo empresas Fortune 500
- 229 milhões de instalações de extensões VSCode com código malicioso
- Bilhões de downloads semanais de pacotes comprometidos em npm/PyPI
AMEAÇA 1: Vulnerabilidade React2Shell (CVE-2025-55182)
1.1 Descrição Técnica
- CVE: CVE-2025-55182 (também conhecida como React2Shell)
- CVSS Score: 10.0 (CRÍTICO)
- Componente Afetado: React Server Components – protocolo
Flight
A vulnerabilidade permite execução remota de código (RCE) não autenticada por meio de desserialização insegura no protocolo Flight utilizado pelos React Server Components. Um atacante pode enviar uma requisição HTTP maliciosa para qualquer endpoint de Server Function e obter execução arbitrária de código JavaScript privilegiado no servidor.
Característica crítica: Aplicações são vulneráveis MESMO QUE não implementem explicitamente Server Functions, bastando ter suporte a React Server Components.
Versões Afetadas:
- React: 19.0, 19.1.0, 19.1.1, 19.2.0
- Next.js: 15.x e 16.x (quando utilizando App Router)
- Frameworks / tooling afetados: React Router, Waku, Redwood SDK, Parcel, Vite (plugins de RSC)
1.2 Exploração Ativa em Campo
Status: EXPLORAÇÃO ATIVA CONFIRMADA
Grupos de ameaça identificados explorando a vulnerabilidade:
- Earth Lamia (APT chinês)
- Jackpot Panda (APT chinês)
- CL-STA-1015 (Initial Access Broker ligado ao MSS chinês)
Atividades maliciosas observadas:
- Reconhecimento de servidores (
whoami,id, leitura de/etc/passwd) - Tentativas de roubo de credenciais AWS (arquivos
.aws/config) - Instalação de trojans (SNOWLIGHT, VShell)
- Shells interativos em containers (Kubernetes / GKE)
- Persistência via execução fileless de scripts maliciosos
Dados alarmantes:
- 39% dos ambientes cloud escaneados contêm instâncias vulneráveis (dados Wiz)
- Taxa de sucesso de exploração próxima de 100%
- 77.000+ endereços IP expostos e vulneráveis
- Exploração iniciada horas após a divulgação pública
1.3 Medidas de Correção URGENTES
AÇÃO IMEDIATA – OBRIGATÓRIA:
- Atualizar React para versões corrigidas:
- React 19.0.1, 19.1.2 ou 19.2.1
- Atualizar Next.js (se aplicável):
- Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7
- Use:
npx fix-react2shell-nextpara atualização automatizada
- Realizar rebuild e redeploy completo das aplicações afetadas
- Rotacionar secrets (para aplicações que estavam expostas em torno de 4 de dezembro):
- Credenciais AWS / Azure / GCP
- Tokens de API
- Senhas de banco de dados
- Chaves de criptografia
- Implementar regras de WAF (mitigação temporária – NÃO substitui patch):
- AWS WAF:
AWSManagedRulesKnownBadInputsRuleSetversão 1.24+ - Cloudflare: Regras de detecção atualizadas automaticamente
- Google Cloud: Cloud Armor com regras específicas para React2Shell
- Verificar logs de acesso em busca de IoCs (Indicadores de Comprometimento):
- Requisições para endpoints de Server Functions com payloads suspeitos
- Consultas DNS para
*.oast.liveou*.oastify.com(OAST – Out-of-Band testing) - Processos inesperados disparados por aplicações Next.js/React
- Conexões de saída anômalas a partir de containers
1.4 Medidas Preventivas com a Rainforest.tech
Como a Rainforest.tech protege sua organização:
- ✓ Detecção Automática de Dependências Vulneráveis
Nosso módulo de SCA identifica automaticamente todas as instâncias vulneráveis de React 19.x no seu código, incluindo dependências transitivas que você pode nem saber que usa. - ✓ Análise de Alcançabilidade com IA
Determinamos se o código vulnerável dos React Server Components é de fato alcançável nas suas aplicações. Se o seu código não usa RSC, você recebe alertas priorizados corretamente – não ruído. - ✓ Priorização Contextualizada
Combinamos dados de exposição (a aplicação é voltada para internet?), criticidade do ativo e análise de explorabilidade para priorizar a remediação onde o risco é REAL. - ✓ Monitoramento Contínuo
Scan contínuo de todos os repositórios, registries de containers e ambientes cloud. Quando surge uma nova CVE crítica (como React2Shell), você é alertado em minutos, não em dias. - ✓ Integração com CI/CD
Bloqueie builds que introduzam versões vulneráveis de React/Next.js antes de chegarem à produção. Guardrails automatizados evitam que desenvolvedores façam deploy acidental de código vulnerável.
AMEAÇA 2: Extensões Maliciosas no VSCode Marketplace
2.1 Descrição do Problema
O VSCode Marketplace, com aproximadamente 50.000 extensões, tornou-se um vetor crítico de ataque à supply chain. Pesquisadores identificaram centenas de extensões maliciosas com capacidades como:
- Roubo de código-fonte completo e propriedade intelectual
- Exfiltração de credenciais (tokens GitHub, chaves AWS, chaves SSH)
- Instalação de cryptominers (por exemplo, XMRig)
- Backdoors e shells remotos
- Keyloggers e captura de tela
- Monitoramento de clipboard para roubo de wallets de criptomoedas
Escala do problema:
- 229 milhões de instalações de extensões com código malicioso confirmado
- 1.283 extensões contendo dependências com vulnerabilidades conhecidas
- 550+ secrets validados expostos em extensões (PATs, API keys, tokens de IA)
- Mais de 100 organizações comprometidas, incluindo empresas com market cap combinado de US$ 483 bilhões
2.2 Táticas de Ataque Observadas
- Typosquatting e Confusão de Nome
- Extensões maliciosas imitam nomes populares com pequenas variações.
- Exemplos:
prettiest javaem vez dePrettier-JavaTheme Darcula darkpara capturar instalações do tema popular Dracula
- Cavalo de Troia – Funcionalidade Legítima + Payload Malicioso
- As extensões entregam a funcionalidade prometida (formatação, temas, etc.) para evitar suspeitas, enquanto executam código malicioso em background.
- Supply Chain Hijack – Atualização Maliciosa Posterior
- Atacantes publicam extensões inicialmente benignas, ganham tração e confiança e, depois, introduzem código malicioso em atualizações subsequentes.
- Como o VSCode atualiza extensões automaticamente por padrão, o payload é distribuído de forma silenciosa.
- Publisher Verificado Fraudulento
- Atacantes registram domínios relacionados e os verificam no VSCode Marketplace para obter o “badge azul” de publisher verificado, criando uma credibilidade falsa.
- Exfiltração via Canais Legítimos
- Uso de serviços como Zulip, Ngrok e outras plataformas legítimas para C2 e exfiltração de dados, dificultando a detecção por firewalls.
2.3 Extensões Maliciosas Identificadas (Exemplos Recentes)
| Extensão | Downloads | Payload Malicioso |
|---|---|---|
| Theme Darcula dark | 45.000+ | Roubo de PII e configurações do desenvolvedor |
| C++ Playground | 17.000+ | Keylogger capturando código-fonte em C++ |
| HTTP Format | Desconhecido | Mineração de criptomoedas (CoinIMP) |
| Christine-devops1234.scraper | Ativo | Roubo de código, IDs de máquina, queries de busca |
| Codo AI (Bitcoin Black) | Recente | Infostealer com execução oculta de PowerShell |
2.4 Medidas de Correção e Prevenção
Ações Imediatas:
- Auditar todas as extensões atualmente instaladas
- Remover extensões de publishers não verificados ou com baixa reputação
- Verificar reviews, histórico de atualizações e número de instalações
- Desabilitar auto-update de extensões em ambientes críticos
Boas Práticas:
- Minimizar o número de extensões instaladas
- Preferir o VSCode Marketplace oficial (controles mais rigorosos) em vez de OpenVSX
- Implementar uma allowlist centralizada de extensões aprovadas pela organização
- Manter inventário de extensões de IDE para resposta rápida a incidentes
- Isolar ambientes de desenvolvimento das redes de produção
- Revisar o código de extensões críticas antes da adoção
2.5 Proteção com a Rainforest.tech
Como a Rainforest.tech identifica riscos relacionados a IDEs:
- ✓ Detecção de Secrets em Código
Nosso módulo de Secrets Detection identifica tokens, API keys e credenciais hardcoded que poderiam ser expostos caso uma extensão maliciosa exfiltre seu código-fonte. - ✓ SCM Posture Management
Monitoramos configurações de GitHub/GitLab/Azure DevOps para detectar permissões excessivas que extensões maliciosas poderiam abusar. - ✓ Análise de Dependências de Desenvolvimento
Mesmo que não possamos escanear extensões VSCode diretamente, analisamos todas as dependências npm/PyPI usadas nos seus projetos — incluindo dev dependencies que poderiam ser exploradas por extensões maliciosas. - ✓ Alertas de Comportamento Anômalo
Detecção de padrões suspeitos, como commits massivos de código, alterações inesperadas em arquivos de configuração ou conexões de saída anômalas.
AMEAÇA 3: Ataques à Supply Chain – Pacotes Maliciosos em npm e PyPI
3.1 Panorama da Ameaça
Ataques à supply chain através de repositórios de pacotes open source estão crescendo de forma acentuada. Em 2024–2025, campanhas coordenadas passaram a mirar npm e PyPI simultaneamente, com threat actors reutilizando as mesmas técnicas entre ecossistemas.
Estatísticas Alarmantes:
- Setembro de 2025: 20 pacotes npm populares (2 bilhões de downloads/semana) comprometidos via phishing de maintainer
- Junho de 2025: pacotes
@gluestack-uie@react-native-ariacomprometidos (150K installs cumulativos) - 14 das 23 campanhas cripto-maliciosas em 2024 visaram npm (o restante, PyPI)
- Ataques cross-ecosystem: o mesmo ator MUT-8694 visando npm E PyPI simultaneamente
3.2 Táticas de Ataque Comuns
- Comprometimento de Maintainer (Account Takeover) Vetores:
- Phishing de credenciais npm/PyPI com páginas falsas
- Ataques Adversary-in-the-Middle (AiTM) capturando 2FA
- Roubo de Personal Access Tokens (PATs) Exemplo:
- O maintainer de
chalkedebug(npm) recebeu um e-mail falso desupport@npmjs[.]helpsolicitando atualização de 2FA. - Resultado: 20 pacotes comprometidos.
- Typosquatting e Confusão de Nome
- PyPI:
graphalgo(malicioso) vsgraphdict(legítimo) - npm:
express-cookie-parser(malicioso) vscookie-parser(legítimo) - Cross-ecosystem: nomes similares aos de npm usados para atacar usuários PyPI
- Dependency Confusion
- Atacantes descobrem nomes de pacotes privados internos e publicam versões maliciosas com números de versão maiores em registries públicos.
- Gerenciadores de pacotes mal configurados acabam puxando a versão maliciosa.
- Trojan Source – Atualização Maliciosa Posterior
- Exemplo: pacote PyPI
semantic-typesera benigno na publicação inicial (22/12/2024), mas recebeu payload malicioso em uma atualização posterior (26/01/2025).
- Fake Job Assessments
- Atacantes se passam por recrutadores e pedem que candidatos clonem repositórios GitHub contendo pacotes npm maliciosos como parte de uma “avaliação técnica”.
3.3 Payloads Maliciosos Típicos
Infostealers:
- Credenciais de browsers (Chrome, Firefox, Brave, Opera)
- Wallets de criptomoedas (Bitcoin, Ethereum, Solana)
- Tokens GitHub, chaves AWS, secrets em arquivos
.env - Configurações Git (
.gitconfig) - Dados de iCloud Keychain
Backdoors e RATs:
- Execução remota de comandos via C2
- Keyloggers e screen capture
- Varredura de sistema de arquivos e exfiltração de código-fonte
Cryptominers:
- XMRig (mineração de Monero) consumindo recursos da máquina
Wipers e Payloads Destrutivos:
- Deleção recursiva de arquivos (
rm -rf *,rd /s /q) - Desligamento de serviços e corrupção de dados
Crypto Hijackers:
- Monkey-patching de funções de geração de keypairs Solana
- Interceptação e redirecionamento de transações de criptomoedas
3.4 Indicadores de Pacotes Maliciosos
Red Flags:
- Typosquatting ou nome muito similar a um pacote popular
- Publisher novo ou não verificado
- README excessivamente polido para um pacote recém-lançado
- Código ofuscado (base64, hex) em arquivos de inicialização
- Execução de comandos de sistema (PowerShell, bash,
curl/wget) - Conexões de rede não documentadas para IPs ou domínios desconhecidos
- Uso de DGA (Domain Generation Algorithms) para C2
- Manipulação de PATH ou instalação de mecanismos de persistência
- Número de downloads inconsistente (muito alto para um pacote recente)
3.5 Medidas de Correção e Prevenção
Ações Imediatas se Houver Comprometimento:
- Identificar versões maliciosas em uso (verificando arquivos de lock)
- Remover pacotes comprometidos e fazer downgrade para versões seguras
- Rotacionar TODOS os secrets que possam ter sido expostos
- Auditar logs de acesso em busca de sinais de exfiltração de dados
- Verificar mecanismos de persistência (cron jobs, scripts de inicialização, chaves de registro)
Boas Práticas:
- Lock de Dependências:
- Usar
package-lock.json(npm) erequirements.txtcom hashes (PyPI). - Verificação de Integridade:
- Sempre verificar checksums e assinaturas quando disponíveis.
- Scans Automatizados:
- Integrar ferramentas de SCA ao CI/CD.
- Vetting Manual:
- Revisar o código de novas dependências antes de adicioná-las.
- Princípio do Menor Privilégio:
- Evitar rodar builds como root/admin.
- Isolamento:
- Usar containers ou sandboxes para builds.
- Monitoramento:
- Criar alertas para adições/atualizações de dependências.
- Educação:
- Treinar desenvolvedores sobre ameaças à supply chain.
3.6 Proteção Abrangente com a Rainforest.tech
Rainforest.tech – Sua Defesa Definitiva Contra Supply Chain Attacks
- ✓ SCA Nativo com Inteligência de Alcançabilidade
Não apenas identificamos vulnerabilidades conhecidas nas suas dependências npm/PyPI — determinamos se o código vulnerável é EFETIVAMENTE ALCANÇÁVEL na sua aplicação. Isso pode reduzir em até 80% o volume de alertas, permitindo que sua equipe foque no que realmente importa. - ✓ Detecção em Tempo Real de Pacotes Maliciosos
Nossa threat intelligence monitora continuamente npm, PyPI e outros registries em busca de novos pacotes maliciosos. Quando campanhas como as descritas neste boletim surgem, nossos clientes são imediatamente alertados se houver exposição. - ✓ Análise de Comportamento e Heurísticas Avançadas
Detectamos padrões suspeitos como: - Código ofuscado em dependências
- Chamadas de rede não documentadas
- Execução de comandos de sistema suspeitos
- Typosquatting e dependency confusion
- ✓ SBOM Automático e Completo
Geramos um Software Bill of Materials (SBOM) completo de todas as suas aplicações, incluindo dependências transitivas profundas. Quando um pacote comprometido é descoberto (ex.:chalk,debug), você sabe INSTANTANEAMENTE quais aplicações estão afetadas. - ✓ Guardrails Automatizados em CI/CD
Bloqueie builds que introduzam: - Pacotes com vulnerabilidades acima do threshold definido
- Pacotes de publishers não confiáveis ou recém-criados
- Dependências com padrões de comportamento malicioso
- Typosquatting de pacotes populares
- ✓ Visibilidade Cross-Ecosystem
Cobertura unificada de npm, PyPI, Maven, NuGet, RubyGems e mais. Threat actors migram entre ecossistemas — nossa plataforma acompanha. - ✓ Priorização Contextualizada Baseada em Risco Real
Consideramos: - Onde a aplicação roda (produção vs dev)
- Exposição externa (internet-facing?)
- Criticidade do ativo (contém dados sensíveis?)
- Exploitabilidade (PoC disponível? Exploração ativa?)
- Alcançabilidade do código vulnerável
- ✓ Integração com Ferramentas Existentes
Jira, ServiceNow, Slack, Teams, PagerDuty – automatize workflows de remediação e mantenha todos os stakeholders alinhados.
Com a Rainforest.tech, você não está apenas detectando vulnerabilidades — está prevenindo proativamente que ameaças entrem na sua supply chain de software.
CONCLUSÃO E RECOMENDAÇÕES FINAIS
O cenário de ameaças descrito neste boletim representa uma convergência perigosa de vetores de ataque à supply chain de software:
- React2Shell demonstra como vulnerabilidades de desserialização podem ter impacto massivo em frameworks amplamente adotados.
- Extensões VSCode maliciosas mostram que até as ferramentas de desenvolvedor se tornaram vetores de ataque.
- Ataques a npm/PyPI revelam a sofisticação crescente e a coordenação cross-ecosystem de threat actors.
Prioridades Estratégicas
- Visibilidade Total
Você não pode proteger o que não enxerga. Implementar ASPM (Application Security Posture Management) completo é crítico. - Priorização Inteligente
Com milhares de vulnerabilidades sendo reportadas, priorizar com base em contexto real (e não apenas em CVSS) é essencial para a eficiência. - Shift Left com Guardrails
Bloquear vulnerabilidades e pacotes maliciosos antes de chegarem à produção é 10x mais eficiente do que remediar depois do deploy. - Resposta Rápida
Quando ameaças como React2Shell emergem, cada hora conta. Ter capacidade de identificar exposição e remediar em minutos pode ser a diferença entre um incidente contido e um grande vazamento.
A Rainforest.tech foi construída especificamente para enfrentar esses desafios. Nossa plataforma unificada oferece a visibilidade, inteligência e automação necessárias para proteger sua supply chain de software em um cenário de ameaças em constante evolução.