RondoDox 殭屍網路利用 React2Shell 漏洞攻擊 Next.js 伺服器

近日，RondoDox 殭屍網路被發現利用 React2Shell 漏洞攻擊 Next.js 伺服器。這個攻擊不僅展示了殭屍網路的進化，也揭示了網路安全面臨的嚴峻挑戰。以下將詳細探討這次攻擊的背景、過程、影響及應對策略。

攻擊背景

RondoDox 殭屍網路自2024年起活躍，主要針對物聯網（IoT）設備和網頁應用程式，利用各種已知漏洞進行感染。2025年3月，RondoDox 開始利用 React2Shell 漏洞進行攻擊。這個漏洞存在於 React Server Components 和 Next.js 中，允許未經授權的攻擊者在易受攻擊的設備上執行遠端程式碼。

攻擊過程

RondoDox 殭屍網路的攻擊過程大致如下： 1. 初步偵察：RondoDox 先進行廣泛的網頁應用程式和物聯網設備漏洞掃描，收集潛在的攻擊目標。 2. 初始入侵：利用 React2Shell 漏洞（可參考文章）進行初步入侵，成功感染 Next.js 伺服器。 3. 惡意載荷部署：在入侵後，RondoDox 部署了多種惡意載荷，包括加密貨幣採礦器（’/nuts/poop’）、殭屍網路載入器（’/nuts/bolts’）以及 Mirai 殭屍網路變種（’/nuts/x86’）。這些載荷會先終止其他採礦器和惡意軟體，防止其他威脅行為者再次感染（iThome, 2024）。

影響範圍

根據 CloudSEK 的分析，截至2025年底，仍有約68,400個實例易受 React2Shell 漏洞攻擊。這些受影響的設備主要分佈在美國、德國、法國和印度。RondoDox 殭屍網路的攻擊範圍繼續擴大，威脅到更多的網路設備和伺服器。

應對策略

面對 RondoDox 殭屍網路的攻擊，企業和個人應採取以下應對策略：

• 更新和補丁管理：及時更新 React Server Components 和 Next.js 的版本，修復已知漏洞。
• 網路隔離與監控：對於潛在的攻擊目標進行網路隔離，並加強網路監控，及時發現異常行為。
• 入侵測試與漏洞掃描：定期進行入侵測試和漏洞掃描，識別和修復潛在的安全弱點。
• 多層次防禦：採用多層次防禦策略，包括防火牆、入侵偵測系統（IDS）和入侵防禦系統（IPS），提供全面的安全保護。

結論

RondoDox 殭屍網路利用 React2Shell 漏洞攻擊 Next.js 伺服器的事件再次提醒我們，網路安全威脅無處不在。企業和個人必須加強安全意識，採取積極的防護措施，才能有效應對不斷演變的網路攻擊。

參考資料與原文來源

• 🔗 原文來源: https://www.scworld.com/brief/react2shell-weaponized-by-rondodox-botnet
• 🔗 原文來源: https://securityaffairs.com/186386/uncategorized/react2shell-under-attack-rondodox-botnet-spreads-miners-and-malware.html
• 🔗 原文來源: https://www.securityweek.com/rondodox-botnet-exploiting-react2shell-vulnerability/
• 🔗 原文來源: https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html
• 🔗 原文來源: https://www.govinfosecurity.com/rondodox-botnet-exploiting-devices-react2shell-flaw-a-30436

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。