ReactやNext.jsに影響する深刻な脆弱性を突き、企業ネットワークに侵入した直後、わずか1分以内にランサムウェアを展開する攻撃が確認された。国家主体や犯罪者が相次ぎ悪用しており、実害が急速に広がっている。企業の防御が追いついていない状況だ。

問題の脆弱性はReact Server Componentsの通信仕様であるFlightプロトコルにおける不安全なデシリアライズで、認証不要でサーバー上のJavaScript実行が可能になる。CVE-2025-55182として公開後、数時間で諜報目的の侵入やマルウェア配布、暗号資産マイニングに悪用が広がった。S-RMは12月5日、Weaxorランサムウェアを展開する攻撃を観測した。侵入直後に難読化されたPowerShellでCobalt Strikeを配置し、防御機能を無効化して暗号化を実行するまで1分未満だったという。被害は脆弱な端末に限定され、横展開は確認されていない。暗号化後は.WEAX拡張子と身代金メモが残され、シャドウコピー削除やログ消去も行われた。同一ホストが別攻撃者にも再侵入されており、管理者にはNodeやReact関連プロセスからのcmd.exeやpowershell.exe起動、不審な外向き通信の監視が求められる。
https://t.co/g5TqNcMqw8 December 12, 2025

🌟BOYS DON'T BLUE最新回🌟

🎄ラジオ最新回を公開しました🎄

https://t.co/wFiK4bHwXo

下北沢LIVEHAUSで開催した『Fight!』リリースパーティ東京編の振り返りを中心に話しています！

作業用におやすみ前に、ゆったりとお楽しみください〜☕️

#cobaltboy https://t.co/RRnX3IhJwc December 12, 2025