Celah keamanan baru pada React Server Components kembali memicu kewaspadaan global setelah dieksploitasi hanya dalam hitungan jam oleh beberapa kelompok peretas yang memiliki keterkaitan dengan negara China. Kerentanan kritis yang tercatat sebagai CVE-2025-55182 atau React2Shell ini diungkap pada 3 Desember 2025 dan langsung dimanfaatkan oleh kelompok seperti Earth Lamia dan Jackpot Panda. Temuan tersebut dibagikan oleh tim intelijen ancaman Amazon sebagai peringatan bagi para pengembang yang menjalankan aplikasi React atau Next.js di lingkungan mereka sendiri, meskipun layanan AWS dipastikan tidak terdampak.
React2Shell memiliki skor CVSS tertinggi yaitu 10.0 dengan risiko eksekusi perintah jarak jauh tanpa autentikasi. Celah ini memengaruhi React versi 19.x serta Next.js versi 15.x dan 16.x yang menggunakan App Router. Kerentanan ini ditemukan oleh Lachlan Davidson dan telah lebih dulu dilaporkan kepada tim React pada 29 November 2025. Vercel turut menyampaikan laporan kepada Meta dan beberapa penyedia layanan cloud besar sehingga penambalan bisa dipersiapkan sebelum publik menerima informasi mengenai masalah ini.
AWS mencatat lonjakan aktivitas penyerangan melalui infrastruktur jebakan MadPot, yang mendeteksi berbagai upaya eksploitasi dari alamat IP yang berkorelasi dengan kelompok ancaman siber berbasis China. Earth Lamia diketahui aktif membidik organisasi di Amerika Latin, Timur Tengah, dan Asia Tenggara, sementara Jackpot Panda banyak menyasar entitas di kawasan Asia Timur dan Asia Tenggara. Banyak upaya juga datang dari jaringan anonimisasi China yang digunakan bersama oleh berbagai kelompok peretas yang membuat atribusi menjadi sulit.
Selain dua kelompok tersebut, sejumlah aktivitas lain dari kluster ancaman yang belum teridentifikasi turut ditemukan. Sebagian besar serangan berasal dari infrastruktur digital China, memperkuat dugaan bahwa wilayah tersebut menjadi sumber terbesar dalam pemanfaatan React2Shell. Para penyerang bergerak cepat begitu bukti konsep eksploitasi muncul di internet dan langsung memasukkannya ke dalam sistem pemindaian otomatis mereka.
Peretas memanfaatkan kombinasi alat otomatis dan eksploit publik yang tersedia di komunitas keamanan. Beberapa alat pemindaian yang digunakan telah dilengkapi teknik menghindari deteksi seperti pengacakan user agent. Bahkan, mereka juga mencoba mengeksploitasi kerentanan lain seperti CVE-2025-1338 secara paralel. AWS menilai pola tersebut menunjukkan strategi sistematis dalam memonitor kerentanan baru, menggabungkan eksploit publik, dan menyerang secara luas untuk meningkatkan peluang menemukan target rentan.
Meskipun banyak bukti konsep eksploitasi di internet tidak berfungsi dalam kondisi nyata, kelompok penyerang tetap menggunakannya. AWS menilai bahwa volume serangan menjadi faktor utama. Para peretas memilih kuantitas dibanding kualitas, menyerang dengan berbagai skrip eksploitasi tanpa pengujian mendalam, karena serangan dalam jumlah besar dapat meningkatkan peluang menemukan konfigurasi target yang rentan. Upaya gagal juga menghasilkan jejak log yang sangat bising sehingga menyulitkan deteksi serangan yang lebih canggih.
Salah satu contoh menarik ditemukan dari sebuah kluster ancaman yang belum teratribusi menggunakan IP 183.6.80.214. Selama hampir satu jam pada 4 Desember 2025, kluster tersebut melakukan lebih dari 100 percobaan permintaan untuk mengeksekusi perintah dan menulis file ke sistem target. Aktivitas yang persisten ini menunjukkan bahwa peretas tidak semata-mata bergantung pada otomatisasi, tetapi juga melakukan debugging serangan langsung ke server nyata.
Untuk membantu melindungi pelanggan, AWS telah mengaktifkan beragam lapisan perlindungan. Sistem Sonaris Active Defense mendeteksi serta membatasi upaya pemindaian berbahaya secara otomatis. AWS WAF dengan rule set versi 1.24 atau lebih baru kini telah memiliki aturan khusus untuk memblokir pola eksploitasi React2Shell. Infrastruktur MadPot juga memberikan deteksi dini yang memungkinkan pengembangan respons lebih cepat.
Meski begitu, AWS menegaskan bahwa perlindungan tersebut bukan pengganti langkah penambalan. Pelanggan yang menjalankan aplikasi React atau Next.js di EC2, kontainer, atau lingkungan mandiri harus segera memperbarui aplikasi mereka. AWS memberikan beberapa rekomendasi yang perlu dilakukan segera, antara lain memperbarui versi React atau Next.js yang rentan, memasang aturan AWS WAF khusus sebagai perlindungan tambahan sementara, dan memeriksa log aplikasi untuk aktivitas mencurigakan. Aktivitas mencurigakan dapat berupa permintaan POST yang membawa header next-action atau rsc-action-id, eksekusi perintah yang tidak wajar seperti yang digunakan untuk rekonsiliasi sistem, upaya membaca file penting, atau penulisan file baru di direktori sementara.
AWS juga mencantumkan sejumlah alamat IP yang terkonfirmasi melakukan percobaan eksploitasi. Di antaranya adalah 206.237.3.150 terkait Earth Lamia, 45.77.33.136 terkait Jackpot Panda, 143.198.92.82 dari jaringan anonimisasi, serta 183.6.80.214 yang berasal dari kluster ancaman tidak teridentifikasi.
Perusahaan menegaskan pentingnya respons cepat dari para pengelola aplikasi. Jika terdapat indikasi kompromi, pengguna dianjurkan segera menghubungi AWS Support untuk bantuan penanganan insiden.
Celah React2Shell menjadi pengingat bahwa ekosistem pengembangan web modern harus bergerak cepat dalam menghadapi kerentanan baru. Ketika kelompok peretas semakin agresif memanfaatkan eksploit publik, kecepatan dalam memperbarui aplikasi menjadi benteng pertahanan pertama sekaligus paling penting dalam menjaga keamanan sistem digital.