一個名為「React2Shell 」的GitHub倉庫偽裝成CVE-2025-55182漏洞掃描器，在傳播惡意軟體後被證實為惡意專案。此專案託管在名為「React2Shell」React2shell-scanner的使用者名稱下niha0wa，在收到社群舉報後已從GitHub平台移除。

網路安全研究員Saurabh上週在LinkedIn上發現了該工具程式碼中的可疑行為，並標記了這款現已刪除的工具mshta.exe。根據他的帖子，該腳本包含一個隱藏的有效載荷，旨在執行並從遠端伺服器獲取文件py-installer.cc，這是一種已知的用於投放第二階段惡意軟體的技術。

該惡意軟體利用mshta.exeWindows自帶的合法工具攻擊Windows設備，該工具常被濫用以運行惡意腳本，並指向託管在GitHub上的惡意自訂腳本。該腳本似乎會在未提示使用者或引起懷疑的情況下執行。具體來說，惡意載荷被嵌入在 react2shellpy.py 檔案中，其中一段經過 Base64 編碼的字串被解碼為一個 PowerShell 命令，從而啟動惡意行為。

此掃描器的目標使用者是正在調查CVE-2025-55182的安全專業人員，它偽裝成有用的工具而非有害的工具。透過偽裝成合法的安全實用程序，它將正常的科學研究活動變成了攻擊者的入口，使網路安全研究人員面臨風險。這種攻擊模式利用了研究人員急於獲取漏洞分析或利用工具的心理，將其日常工作流程轉化為感染媒介，本質上是一種針對性的供應鏈攻擊。

雖然GitHub迅速採取行動刪除了該程式碼庫，但此次事件表明，以網路安全工具名義共享的程式碼需要謹慎審查，任何工具都不應僅僅因為託管在熟悉的平台上就盲目信任。研究人員在執行任何第三方工具之前，應徹底審查其原始程式碼，尤其需警惕程式碼經過混淆、包含網路回調或作者身份不明的工具。分析CVE-2025-55182或類似高關注度漏洞的研究人員應警惕偽造的漏洞利用工具，以免將自身暴露於不必要的風險之中。此事件再次突顯了網路安全社群內部也必須保持高度警惕的重要性。