有人假借提供React2Shell掃描工具的名義，於GitHub散布惡意軟體

兩週前React開發工程團隊修補滿分資安漏洞CVE-2025-55182（React2Shell）引起全球資安圈高度關注，不僅在公布數小時後開始出現攻擊活動，網路上也出現大量的概念驗證（PoC）工具，這種極為不尋常的情況，也出現有人趁亂打劫，對資安人員散布惡意軟體。

根據資安新聞網站HackRead報導，上週資安研究員Saurabh在職場社群網站LinkedIn提出警告，他們在GitHub看到有人假借提供React2Shell漏洞掃描工具的名義，意圖散布惡意軟體，一旦埋藏在「資安工具」當中的有效酬載啟動，就會執行mshta.exe，然後將研究人員帶往釣魚網域https://py-installer[.]cc，進行後續的攻擊活動。對此，他們呼籲資安人員，在執行任何網路上的資安工具之前，務必閱讀相關說明或是公告。

HackRead根據Saurabh發文的螢幕截圖指出，駭客使用的指令，包含了隱藏的有效酬載，其功能是從遠端抓取第二階段攻擊的惡意軟體。此惡意軟體嵌入於Base64編碼的字串，攻擊者以PowerShell命令解開並執行，濫用合法Windows工具執行惡意指令碼，並將使用者導向另一個存放在GitHub的指令碼，過程裡不需使用者互動。