文章总结： 一个名为React2Shell的GitHub仓库伪装成CVE-2025-55182漏洞扫描器，实则传播恶意软件。该恶意代码通过mshta.exe执行远程PowerShell命令，针对安全研究人员。尽管该仓库已被移除，但事件警示安全人员必须严格审查第三方工具的源代码，切勿盲目信任，以防遭受攻击。 综合评分： 91 文章分类： 恶意软件,威胁情报,安全意识,漏洞分析

GitHub React2Shell 扫描器 (CVE-2025-55182) 被证实为恶意软件

独眼情报

2025年12月16日 15:23 湖北

一个名为“ React2Shell ”的 GitHub 仓库伪装成 CVE-2025-55182 漏洞扫描器，在传播恶意软件后被揭露为恶意项目。该项目名为 React2shell-scanner ，由用户 niha0wa 托管，在收到社区举报后已从 GitHub 平台移除。

恶意项目：https://github.com/niha0wa/React2shell-scanner

网络安全研究员 Saurabh 上周在 LinkedIn 上标记了这个现已被删除的工具 ，因为他发现了该工具代码中的可疑行为。根据他的帖子，该脚本包含一个隐藏的有效载荷，旨在执行 mshta.exe 并从 py-installer.cc 获取远程文件，这是一种已知的用于投放第二阶段恶意软件的技术。

查看脚本证实了警告。恶意软件嵌入在 react2shellpy.py 文件中，其中一段 base64 编码的字符串被解码成 PowerShell 命令。

该恶意软件利用 mshta.exe （一个常被滥用以运行恶意脚本的合法 Windows 工具）攻击 Windows 设备，指向托管在 GitHub 上的恶意自定义脚本。该脚本似乎会在未提示用户或引起怀疑的情况下执行。

GitHub 上托管的伪造 React2Shell (CVE-2025-55182) 扫描脚本的屏幕截图

该扫描器的目标用户是正在调查 CVE-2025-55182 的安全专业人员，它伪装成有用的工具而非有害的工具。通过伪装成合法的安全实用程序，它将正常的科研活动变成了攻击者的入口，使网络安全研究人员面临风险。

值得注意的是，就在几天前有报道称，黑客将新的 PyStoreRAT 恶意软件隐藏在 GitHub 上的实用工具中，专门针对 OSINT 和网络安全研究人员。

虽然 GitHub 迅速采取行动删除了该代码库，但此次事件表明，以网络安全工具名义共享的代码需要谨慎审查。简而言之，任何工具都不应仅仅因为托管在熟悉的平台上就盲目信任。

Saurabh敦促安全专业人员在执行任何第三方工具（尤其是那些声称有助于漏洞检测的工具）之前，务必彻底审查源代码。虽然恶意脚本已被清除，但缓存副本或分支版本可能仍在传播。分析 CVE-2025-55182 或类似高关注度漏洞的研究人员应警惕伪造的漏洞利用工具，尤其是那些代码经过混淆、包含网络回调或作者身份不明的工具。

查看原文：《GitHub React2Shell 扫描器 (CVE-2025-55182) 被证实为恶意软件》