Alertas Críticos: React2Shell, Extensões VSCode Maliciosas e Ataques à Supply Chain

Data: Dezembro de 2025
Severidade: CRÍTICA


Sumário Executivo

Este boletim técnico cobre três vetores de ataque críticos que estão impactando organizações no mundo todo: a vulnerabilidade React2Shell (CVE-2025-55182), explorada ativamente por grupos APT chineses; extensões maliciosas no VSCode Marketplace comprometendo ambientes de desenvolvimento; e a escalada de ataques à supply chain de software por meio de pacotes maliciosos em npm e PyPI.

Impacto Estimado:

  • Mais de 77.000 endereços IP vulneráveis ao React2Shell
  • 30+ organizações já comprometidas, incluindo empresas Fortune 500
  • 229 milhões de instalações de extensões VSCode com código malicioso
  • Bilhões de downloads semanais de pacotes comprometidos em npm/PyPI

AMEAÇA 1: Vulnerabilidade React2Shell (CVE-2025-55182)

1.1 Descrição Técnica

  • CVE: CVE-2025-55182 (também conhecida como React2Shell)
  • CVSS Score: 10.0 (CRÍTICO)
  • Componente Afetado: React Server Components – protocolo Flight

A vulnerabilidade permite execução remota de código (RCE) não autenticada por meio de desserialização insegura no protocolo Flight utilizado pelos React Server Components. Um atacante pode enviar uma requisição HTTP maliciosa para qualquer endpoint de Server Function e obter execução arbitrária de código JavaScript privilegiado no servidor.

Característica crítica: Aplicações são vulneráveis MESMO QUE não implementem explicitamente Server Functions, bastando ter suporte a React Server Components.

Versões Afetadas:

  • React: 19.0, 19.1.0, 19.1.1, 19.2.0
  • Next.js: 15.x e 16.x (quando utilizando App Router)
  • Frameworks / tooling afetados: React Router, Waku, Redwood SDK, Parcel, Vite (plugins de RSC)

1.2 Exploração Ativa em Campo

Status: EXPLORAÇÃO ATIVA CONFIRMADA

Grupos de ameaça identificados explorando a vulnerabilidade:

  • Earth Lamia (APT chinês)
  • Jackpot Panda (APT chinês)
  • CL-STA-1015 (Initial Access Broker ligado ao MSS chinês)

Atividades maliciosas observadas:

  • Reconhecimento de servidores (whoami, id, leitura de /etc/passwd)
  • Tentativas de roubo de credenciais AWS (arquivos .aws/config)
  • Instalação de trojans (SNOWLIGHT, VShell)
  • Shells interativos em containers (Kubernetes / GKE)
  • Persistência via execução fileless de scripts maliciosos

Dados alarmantes:

  • 39% dos ambientes cloud escaneados contêm instâncias vulneráveis (dados Wiz)
  • Taxa de sucesso de exploração próxima de 100%
  • 77.000+ endereços IP expostos e vulneráveis
  • Exploração iniciada horas após a divulgação pública

1.3 Medidas de Correção URGENTES

AÇÃO IMEDIATA – OBRIGATÓRIA:

  1. Atualizar React para versões corrigidas:
  • React 19.0.1, 19.1.2 ou 19.2.1
  1. Atualizar Next.js (se aplicável):
  • Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7
  • Use: npx fix-react2shell-next para atualização automatizada
  1. Realizar rebuild e redeploy completo das aplicações afetadas
  2. Rotacionar secrets (para aplicações que estavam expostas em torno de 4 de dezembro):
  • Credenciais AWS / Azure / GCP
  • Tokens de API
  • Senhas de banco de dados
  • Chaves de criptografia
  1. Implementar regras de WAF (mitigação temporária – NÃO substitui patch):
  • AWS WAF: AWSManagedRulesKnownBadInputsRuleSet versão 1.24+
  • Cloudflare: Regras de detecção atualizadas automaticamente
  • Google Cloud: Cloud Armor com regras específicas para React2Shell
  1. Verificar logs de acesso em busca de IoCs (Indicadores de Comprometimento):
  • Requisições para endpoints de Server Functions com payloads suspeitos
  • Consultas DNS para *.oast.live ou *.oastify.com (OAST – Out-of-Band testing)
  • Processos inesperados disparados por aplicações Next.js/React
  • Conexões de saída anômalas a partir de containers

1.4 Medidas Preventivas com a Rainforest.tech

Como a Rainforest.tech protege sua organização:

  • Detecção Automática de Dependências Vulneráveis
    Nosso módulo de SCA identifica automaticamente todas as instâncias vulneráveis de React 19.x no seu código, incluindo dependências transitivas que você pode nem saber que usa.
  • Análise de Alcançabilidade com IA
    Determinamos se o código vulnerável dos React Server Components é de fato alcançável nas suas aplicações. Se o seu código não usa RSC, você recebe alertas priorizados corretamente – não ruído.
  • Priorização Contextualizada
    Combinamos dados de exposição (a aplicação é voltada para internet?), criticidade do ativo e análise de explorabilidade para priorizar a remediação onde o risco é REAL.
  • Monitoramento Contínuo
    Scan contínuo de todos os repositórios, registries de containers e ambientes cloud. Quando surge uma nova CVE crítica (como React2Shell), você é alertado em minutos, não em dias.
  • Integração com CI/CD
    Bloqueie builds que introduzam versões vulneráveis de React/Next.js antes de chegarem à produção. Guardrails automatizados evitam que desenvolvedores façam deploy acidental de código vulnerável.

AMEAÇA 2: Extensões Maliciosas no VSCode Marketplace

2.1 Descrição do Problema

O VSCode Marketplace, com aproximadamente 50.000 extensões, tornou-se um vetor crítico de ataque à supply chain. Pesquisadores identificaram centenas de extensões maliciosas com capacidades como:

  • Roubo de código-fonte completo e propriedade intelectual
  • Exfiltração de credenciais (tokens GitHub, chaves AWS, chaves SSH)
  • Instalação de cryptominers (por exemplo, XMRig)
  • Backdoors e shells remotos
  • Keyloggers e captura de tela
  • Monitoramento de clipboard para roubo de wallets de criptomoedas

Escala do problema:

  • 229 milhões de instalações de extensões com código malicioso confirmado
  • 1.283 extensões contendo dependências com vulnerabilidades conhecidas
  • 550+ secrets validados expostos em extensões (PATs, API keys, tokens de IA)
  • Mais de 100 organizações comprometidas, incluindo empresas com market cap combinado de US$ 483 bilhões

2.2 Táticas de Ataque Observadas

  1. Typosquatting e Confusão de Nome
  • Extensões maliciosas imitam nomes populares com pequenas variações.
  • Exemplos:
    • prettiest java em vez de Prettier-Java
    • Theme Darcula dark para capturar instalações do tema popular Dracula
  1. Cavalo de Troia – Funcionalidade Legítima + Payload Malicioso
  • As extensões entregam a funcionalidade prometida (formatação, temas, etc.) para evitar suspeitas, enquanto executam código malicioso em background.
  1. Supply Chain Hijack – Atualização Maliciosa Posterior
  • Atacantes publicam extensões inicialmente benignas, ganham tração e confiança e, depois, introduzem código malicioso em atualizações subsequentes.
  • Como o VSCode atualiza extensões automaticamente por padrão, o payload é distribuído de forma silenciosa.
  1. Publisher Verificado Fraudulento
  • Atacantes registram domínios relacionados e os verificam no VSCode Marketplace para obter o “badge azul” de publisher verificado, criando uma credibilidade falsa.
  1. Exfiltração via Canais Legítimos
  • Uso de serviços como Zulip, Ngrok e outras plataformas legítimas para C2 e exfiltração de dados, dificultando a detecção por firewalls.

2.3 Extensões Maliciosas Identificadas (Exemplos Recentes)

ExtensãoDownloadsPayload Malicioso
Theme Darcula dark45.000+Roubo de PII e configurações do desenvolvedor
C++ Playground17.000+Keylogger capturando código-fonte em C++
HTTP FormatDesconhecidoMineração de criptomoedas (CoinIMP)
Christine-devops1234.scraperAtivoRoubo de código, IDs de máquina, queries de busca
Codo AI (Bitcoin Black)RecenteInfostealer com execução oculta de PowerShell

2.4 Medidas de Correção e Prevenção

Ações Imediatas:

  • Auditar todas as extensões atualmente instaladas
  • Remover extensões de publishers não verificados ou com baixa reputação
  • Verificar reviews, histórico de atualizações e número de instalações
  • Desabilitar auto-update de extensões em ambientes críticos

Boas Práticas:

  • Minimizar o número de extensões instaladas
  • Preferir o VSCode Marketplace oficial (controles mais rigorosos) em vez de OpenVSX
  • Implementar uma allowlist centralizada de extensões aprovadas pela organização
  • Manter inventário de extensões de IDE para resposta rápida a incidentes
  • Isolar ambientes de desenvolvimento das redes de produção
  • Revisar o código de extensões críticas antes da adoção

2.5 Proteção com a Rainforest.tech

Como a Rainforest.tech identifica riscos relacionados a IDEs:

  • Detecção de Secrets em Código
    Nosso módulo de Secrets Detection identifica tokens, API keys e credenciais hardcoded que poderiam ser expostos caso uma extensão maliciosa exfiltre seu código-fonte.
  • SCM Posture Management
    Monitoramos configurações de GitHub/GitLab/Azure DevOps para detectar permissões excessivas que extensões maliciosas poderiam abusar.
  • Análise de Dependências de Desenvolvimento
    Mesmo que não possamos escanear extensões VSCode diretamente, analisamos todas as dependências npm/PyPI usadas nos seus projetos — incluindo dev dependencies que poderiam ser exploradas por extensões maliciosas.
  • Alertas de Comportamento Anômalo
    Detecção de padrões suspeitos, como commits massivos de código, alterações inesperadas em arquivos de configuração ou conexões de saída anômalas.

AMEAÇA 3: Ataques à Supply Chain – Pacotes Maliciosos em npm e PyPI

3.1 Panorama da Ameaça

Ataques à supply chain através de repositórios de pacotes open source estão crescendo de forma acentuada. Em 2024–2025, campanhas coordenadas passaram a mirar npm e PyPI simultaneamente, com threat actors reutilizando as mesmas técnicas entre ecossistemas.

Estatísticas Alarmantes:

  • Setembro de 2025: 20 pacotes npm populares (2 bilhões de downloads/semana) comprometidos via phishing de maintainer
  • Junho de 2025: pacotes @gluestack-ui e @react-native-aria comprometidos (150K installs cumulativos)
  • 14 das 23 campanhas cripto-maliciosas em 2024 visaram npm (o restante, PyPI)
  • Ataques cross-ecosystem: o mesmo ator MUT-8694 visando npm E PyPI simultaneamente

3.2 Táticas de Ataque Comuns

  1. Comprometimento de Maintainer (Account Takeover) Vetores:
  • Phishing de credenciais npm/PyPI com páginas falsas
  • Ataques Adversary-in-the-Middle (AiTM) capturando 2FA
  • Roubo de Personal Access Tokens (PATs) Exemplo:
  • O maintainer de chalk e debug (npm) recebeu um e-mail falso de support@npmjs[.]help solicitando atualização de 2FA.
  • Resultado: 20 pacotes comprometidos.
  1. Typosquatting e Confusão de Nome
  • PyPI: graphalgo (malicioso) vs graphdict (legítimo)
  • npm: express-cookie-parser (malicioso) vs cookie-parser (legítimo)
  • Cross-ecosystem: nomes similares aos de npm usados para atacar usuários PyPI
  1. Dependency Confusion
  • Atacantes descobrem nomes de pacotes privados internos e publicam versões maliciosas com números de versão maiores em registries públicos.
  • Gerenciadores de pacotes mal configurados acabam puxando a versão maliciosa.
  1. Trojan Source – Atualização Maliciosa Posterior
  • Exemplo: pacote PyPI semantic-types era benigno na publicação inicial (22/12/2024), mas recebeu payload malicioso em uma atualização posterior (26/01/2025).
  1. Fake Job Assessments
  • Atacantes se passam por recrutadores e pedem que candidatos clonem repositórios GitHub contendo pacotes npm maliciosos como parte de uma “avaliação técnica”.

3.3 Payloads Maliciosos Típicos

Infostealers:

  • Credenciais de browsers (Chrome, Firefox, Brave, Opera)
  • Wallets de criptomoedas (Bitcoin, Ethereum, Solana)
  • Tokens GitHub, chaves AWS, secrets em arquivos .env
  • Configurações Git (.gitconfig)
  • Dados de iCloud Keychain

Backdoors e RATs:

  • Execução remota de comandos via C2
  • Keyloggers e screen capture
  • Varredura de sistema de arquivos e exfiltração de código-fonte

Cryptominers:

  • XMRig (mineração de Monero) consumindo recursos da máquina

Wipers e Payloads Destrutivos:

  • Deleção recursiva de arquivos (rm -rf *, rd /s /q)
  • Desligamento de serviços e corrupção de dados

Crypto Hijackers:

  • Monkey-patching de funções de geração de keypairs Solana
  • Interceptação e redirecionamento de transações de criptomoedas

3.4 Indicadores de Pacotes Maliciosos

Red Flags:

  • Typosquatting ou nome muito similar a um pacote popular
  • Publisher novo ou não verificado
  • README excessivamente polido para um pacote recém-lançado
  • Código ofuscado (base64, hex) em arquivos de inicialização
  • Execução de comandos de sistema (PowerShell, bash, curl/wget)
  • Conexões de rede não documentadas para IPs ou domínios desconhecidos
  • Uso de DGA (Domain Generation Algorithms) para C2
  • Manipulação de PATH ou instalação de mecanismos de persistência
  • Número de downloads inconsistente (muito alto para um pacote recente)

3.5 Medidas de Correção e Prevenção

Ações Imediatas se Houver Comprometimento:

  • Identificar versões maliciosas em uso (verificando arquivos de lock)
  • Remover pacotes comprometidos e fazer downgrade para versões seguras
  • Rotacionar TODOS os secrets que possam ter sido expostos
  • Auditar logs de acesso em busca de sinais de exfiltração de dados
  • Verificar mecanismos de persistência (cron jobs, scripts de inicialização, chaves de registro)

Boas Práticas:

  • Lock de Dependências:
  • Usar package-lock.json (npm) e requirements.txt com hashes (PyPI).
  • Verificação de Integridade:
  • Sempre verificar checksums e assinaturas quando disponíveis.
  • Scans Automatizados:
  • Integrar ferramentas de SCA ao CI/CD.
  • Vetting Manual:
  • Revisar o código de novas dependências antes de adicioná-las.
  • Princípio do Menor Privilégio:
  • Evitar rodar builds como root/admin.
  • Isolamento:
  • Usar containers ou sandboxes para builds.
  • Monitoramento:
  • Criar alertas para adições/atualizações de dependências.
  • Educação:
  • Treinar desenvolvedores sobre ameaças à supply chain.

3.6 Proteção Abrangente com a Rainforest.tech

Rainforest.tech – Sua Defesa Definitiva Contra Supply Chain Attacks

  • SCA Nativo com Inteligência de Alcançabilidade
    Não apenas identificamos vulnerabilidades conhecidas nas suas dependências npm/PyPI — determinamos se o código vulnerável é EFETIVAMENTE ALCANÇÁVEL na sua aplicação. Isso pode reduzir em até 80% o volume de alertas, permitindo que sua equipe foque no que realmente importa.
  • Detecção em Tempo Real de Pacotes Maliciosos
    Nossa threat intelligence monitora continuamente npm, PyPI e outros registries em busca de novos pacotes maliciosos. Quando campanhas como as descritas neste boletim surgem, nossos clientes são imediatamente alertados se houver exposição.
  • Análise de Comportamento e Heurísticas Avançadas
    Detectamos padrões suspeitos como:
  • Código ofuscado em dependências
  • Chamadas de rede não documentadas
  • Execução de comandos de sistema suspeitos
  • Typosquatting e dependency confusion
  • SBOM Automático e Completo
    Geramos um Software Bill of Materials (SBOM) completo de todas as suas aplicações, incluindo dependências transitivas profundas. Quando um pacote comprometido é descoberto (ex.: chalk, debug), você sabe INSTANTANEAMENTE quais aplicações estão afetadas.
  • Guardrails Automatizados em CI/CD
    Bloqueie builds que introduzam:
  • Pacotes com vulnerabilidades acima do threshold definido
  • Pacotes de publishers não confiáveis ou recém-criados
  • Dependências com padrões de comportamento malicioso
  • Typosquatting de pacotes populares
  • Visibilidade Cross-Ecosystem
    Cobertura unificada de npm, PyPI, Maven, NuGet, RubyGems e mais. Threat actors migram entre ecossistemas — nossa plataforma acompanha.
  • Priorização Contextualizada Baseada em Risco Real
    Consideramos:
  • Onde a aplicação roda (produção vs dev)
  • Exposição externa (internet-facing?)
  • Criticidade do ativo (contém dados sensíveis?)
  • Exploitabilidade (PoC disponível? Exploração ativa?)
  • Alcançabilidade do código vulnerável
  • Integração com Ferramentas Existentes
    Jira, ServiceNow, Slack, Teams, PagerDuty – automatize workflows de remediação e mantenha todos os stakeholders alinhados.

Com a Rainforest.tech, você não está apenas detectando vulnerabilidades — está prevenindo proativamente que ameaças entrem na sua supply chain de software.


CONCLUSÃO E RECOMENDAÇÕES FINAIS

O cenário de ameaças descrito neste boletim representa uma convergência perigosa de vetores de ataque à supply chain de software:

  • React2Shell demonstra como vulnerabilidades de desserialização podem ter impacto massivo em frameworks amplamente adotados.
  • Extensões VSCode maliciosas mostram que até as ferramentas de desenvolvedor se tornaram vetores de ataque.
  • Ataques a npm/PyPI revelam a sofisticação crescente e a coordenação cross-ecosystem de threat actors.

Prioridades Estratégicas

  1. Visibilidade Total
    Você não pode proteger o que não enxerga. Implementar ASPM (Application Security Posture Management) completo é crítico.
  2. Priorização Inteligente
    Com milhares de vulnerabilidades sendo reportadas, priorizar com base em contexto real (e não apenas em CVSS) é essencial para a eficiência.
  3. Shift Left com Guardrails
    Bloquear vulnerabilidades e pacotes maliciosos antes de chegarem à produção é 10x mais eficiente do que remediar depois do deploy.
  4. Resposta Rápida
    Quando ameaças como React2Shell emergem, cada hora conta. Ter capacidade de identificar exposição e remediar em minutos pode ser a diferença entre um incidente contido e um grande vazamento.

A Rainforest.tech foi construída especificamente para enfrentar esses desafios. Nossa plataforma unificada oferece a visibilidade, inteligência e automação necessárias para proteger sua supply chain de software em um cenário de ameaças em constante evolução.

Pesquisar

INSCREVA-SE EM NOSSA NEWSLETTER

Copyright @ Rainforest Technologies 2025. All Rights Reserved.