两周前，React开发团队发布更新，修补了CVSS风险高达10分的React服务端组件（RSC）漏洞CVE-2025-55182（React2Shell），引发安全圈高度关注。大型云服务商、安全公司及研究机构随即发现该漏洞已被广泛利用，中国与朝鲜国家级黑客组织、僵尸网络及挖矿软件均已加入攻击行动。最新调查指出，漏洞公布一周后，攻击活动出现急剧升温。

上周，安全公司Cloudflare公布分析结果称，攻击者主要针对特定地区的网络环境，集中攻击中国大陆、越南、日本、新西兰等地，利用多种公开工具和商用产品，试图定位高价值的应用服务器，目标包括政府机关、学术研究机构和关键基础设施运营单位，涉及铀、稀有金属及核燃料进出口的政府部门。此外，攻击者特别针对企业使用的密码管理工具、安全密钥存储库，以及基于React开发的SSL VPN设备管理界面，以扩大漏洞危害。

值得注意的是，攻击者不仅通过基础特征（Fingerprint）识别存在漏洞的环境，还结合SSL证书信息精准筛选目标并制定攻击优先级。Cloudflare指出，攻击者刻意过滤中国大陆的IP地址，明显避免攻击本国基础设施；同时，所观察到的扫描与利用行为与多个亚洲黑客组织使用的IP地址高度关联，因此判断攻击者很可能来自亚洲地区。

针对此次攻击趋势，Cloudflare在React团队公布漏洞数小时后即检测到利用行为。从世界协调时间（UTC）12月3日凌晨至11日下午5时，共监测到5.82亿次攻击活动，平均每个小时达349万次；在攻击高峰期，单小时攻击量高达1272万次，平均每小时来自3598个不同IP地址，最高单小时曾出现16585个攻击源IP。值得注意的是，攻击活动自12月10日起急剧增加，并在10日和11日出现两波高峰，攻击源IP数量也同步激增。

根据攻击者使用的用户代理字符串（User-Agent String），可见其攻击工具高度多样化，Cloudflare共识别出6387种不同字符串。攻击载荷大小范围广泛，平均文件大小为3.2 KB，最大达375 MB，但75%的载荷小于818字节，表明攻击者正在测试多种载荷尺寸以适应不同环境。

这一态势的明显迹象是，美国网络安全与基础设施安全局（CISA）要求联邦机构提前完成补丁修复。CISA原于12月5日将React2Shell列入“已遭利用漏洞”（KEV）清单，并设定修复截止日期为12月26日。但因多家安全公司和研究机构持续预警，CISA随后将期限提前至12月12日，此类紧急调整极为罕见。

全球暴露于该漏洞的React应用服务器数量持续扩大。Shadowserver基金会最初于12月5日警告，全球有77,664个IP地址存在此漏洞，此后数量虽有所下降，但该机构在12月8日调整检测方式后再次发出警告，指出实际暴露数量远超此前估算，共发现超过16.5万个IP地址、64.4万个域名存在风险，其中美国占绝大多数，中国大陆有129台。

上述暴露数量后续缓慢下降，截至14日已减少至11.6万台，其中美国约8万台，中国大陆仍有76台。然而，漏洞利用活动仍在持续，IT人员须尽快部署更新以应对威胁。