La vulnerabilidad más temida del mes en el ecosistema de desarrollo web, React2Shell (CVE-2025-55182), ya tiene su propio “depredador”. Investigadores de seguridad han identificado una nueva familia de malware, bautizada como PCPCat, que está siendo desplegada activamente en servidores que no han sido parcheados.
¿Qué es React2Shell?
Para dar contexto: React2Shell es un fallo de seguridad con una puntuación de gravedad perfecta (CVSS 10.0). Afecta a los React Server Components, una tecnología fundamental utilizada por frameworks inmensamente populares como Next.js.
El fallo permite a un atacante ejecutar código remoto sin necesidad de autenticación, simplemente enviando una solicitud HTTP maliciosa al servidor.
Entra en escena: PCPCat
Hasta ahora, veíamos escaneos y pruebas de concepto. Ahora vemos ataques reales.
PCPCat es una herramienta de post-explotación (un tipo de backdoor o puerta trasera) que los atacantes instalan inmediatamente después de entrar por el agujero de React2Shell.
Capacidades de PCPCat:
- Persistencia: Se asegura de permanecer en el servidor incluso si se reinicia la aplicación web.
- Shell Reverso Avanzado: Proporciona a los atacantes una línea de comandos remota estable para explorar la red interna, robar variables de entorno (claves de AWS, bases de datos) y descargar más herramientas.
- Evasión: Está diseñado para parecerse a procesos legítimos de Node.js o de mantenimiento del sistema, dificultando su detección por parte de los administradores.
El peligro de los “Frameworks de Moda”
Next.js y React son el estándar de oro para el desarrollo web moderno. Esto significa que la superficie de ataque es gigantesca: desde startups hasta empresas del Fortune 500 usan esta tecnología.
El despliegue de PCPCat demuestra que los cibercriminales han automatizado la cadena de ataque:
Escaneo masivo de servidores Next.js > Explotación de CVE-2025-55182 > Instalación de PCPCat > Control total.
¿Cómo saber si estás infectado?
Dado que React2Shell permite la ejecución de código en memoria o en el sistema de archivos:
- Revisa los procesos: Busca procesos hijos extraños que se originen desde el proceso de node. Si ves un comando curl, wget o un binario desconocido (como pcpcat o nombres aleatorios) ejecutándose bajo el usuario del servidor web, es una mala señal.
- Tráfico de salida: Monitorea conexiones salientes desde tus servidores web hacia direcciones IP desconocidas en puertos no estándar.
Acción Inmediata
Si utilizas Next.js (versiones 13, 14 o 15) o cualquier implementación de React Server Components:
- Actualiza: Sube a la última versión parcheada de Next.js (ej. 15.1.3 o superior, verifica la documentación oficial de Vercel/Next.js).
- WAF: Si no puedes actualizar el código ya, configura tu Web Application Firewall (WAF) para bloquear patrones de ataque dirigidos al protocolo “Flight” de React.
Ficha Técnica del Vector de Ataque
| Componente | Detalle |
| Vulnerabilidad | React2Shell (CVE-2025-55182) |
| Severidad | Crítica (10.0 / 10) |
| Software Afectado | React Server Components, Next.js, Waku |
| Malware Asociado | PCPCat (Backdoor / Reverse Shell) |
| Tipo de Ataque | Ejecución Remota de Código (RCE) no autenticada |
