HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。
多重执行触发机制
Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。...

HackerNews 编译，转载请注明出处：
根据Huntress公司的新发现，React2Shell漏洞正持续遭遇大规模利用，威胁行为者利用React服务器组件中一个严重程度最高的安全漏洞，来投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 这些新型恶意软件包括一款名为PeerBlight的Linux后门、一个名为CowTunnel的反向代理隧道工具，以及一个被称为ZinFoq的基于Go语言的攻陷后植入程序。...

HackerNews 编译，转载请注明出处： React服务器组件（RSC）中披露了一个最高严重级别的安全漏洞，如果被成功利用，可能导致远程代码执行。该漏洞编号为CVE-2025-55182，CVSS 评分为 10.0（最高级别）。 3日，React团队发布警报：“该漏洞通过利用React解码发送到服务器函数端点的负载时的一个缺陷，允许未经身份验证的远程代码执行”，同时强调“即使您的应用程序没有实现任何React服务器函数端点，只要支持React服务器组件，就可能存在攻击风险。”...

HackerNews 编译，转载请注明出处： Next.js React框架中存在一个严重的安全漏洞，在特定条件下可能被利用来绕过授权检查。 该漏洞被追踪为CVE-2025-29927，CVSS评分为9.1（满分10.0）。...