Критична помилка безпеки в React Server Components викликала термінові попередження в криптоіндустрії, оскільки зловмисники швидко використовують її для виснаження гаманців і розгортання шкідливого програмного забезпечення.
Альянс безпеки оголосив що крипто-дренери активно використовують зброю CVE-2025-55182закликаючи всі веб-сайти негайно перевірити свій зовнішній код на наявність підозрілих активів.
Уразливість впливає не лише на протоколи Web3, але й на всі веб-сайти, які використовують React, причому зловмисники націлені на підписи дозволів на різних платформах.
Користувачі стикаються з безпосереднім ризиком під час підписання будь-якої транзакції, оскільки шкідливий код перехоплює комунікації гаманця та перенаправляє кошти на адреси, контрольовані зловмисниками.
Критична помилка дозволяє віддалене виконання коду
Офіційна команда React оприлюднила CVE-2025-55182 3 грудня, оцінивши його як CVSS 10.0 після звіту Лаклана Девідсона 29 листопада через Meta Bug Bounty.
Уразливість неавтентифікованого віддаленого виконання коду використовує те, як React декодує корисні дані, надіслані до кінцевих точок функцій сервера, що дозволяє зловмисникам створювати шкідливі HTTP-запити, які виконують довільний код на серверах.
Недолік впливає на версії React 19.0, 19.1.0, 19.1.1 і 19.2.0 у пакетах react-server-dom-webpack, react-server-dom-parcel і react-server-dom-turbopack.
Основні фреймворки, зокрема Next.js, React Router, Waku та Expo, потребують негайного оновлення. Патчі надійшли у версіях 19.0.1, 19.1.2 і 19.2.1, а користувачам Next.js потрібно було оновити кілька випусків від 14.2.35 до 16.0.10.
На жаль, дослідники знову виявлено дві нові великі вади.
Vercel розгорнула правила брандмауера веб-застосунків для автоматичного захисту проектів на своїй платформі, хоча компанія підкреслила, що одного захисту WAF недостатньо.
«Потрібні негайні оновлення до виправленої версії,Версель заявив у своєму бюлетені безпеки від 3 грудня, додавши, що вразливість впливає на програми, які обробляють ненадійний вхід таким чином, що дозволяє віддалене виконання коду.
Кілька груп загроз здійснюють скоординовані атаки
Google Threat Intelligence Group задокументовано широкомасштабні атаки, починаючи з 3 грудня, відслідковують злочинні групи, починаючи від опортуністичних хакерів і закінчуючи операціями, підтримуваними урядом.
Китайські хакерські групи встановили різні типи зловмисного програмного забезпечення на скомпрометовані системи, головним чином націлені на хмарні сервери Amazon Web Services і Alibaba Cloud.
Ці зловмисники використовували складні методи для збереження довгострокового доступу до систем жертви.
Деякі групи встановили програмне забезпечення для створення секретних тунелів для дистанційного керування, тоді як інші розгорнули програми, які постійно завантажують додаткові шкідливі інструменти, замасковані під легальні файли. Зловмисне програмне забезпечення ховається в системних папках і автоматично перезапускається, щоб уникнути виявлення.
Кілька груп маскували зловмисне програмне забезпечення під звичайні програми або використовували законні хмарні служби, такі як Cloudflare Pages і GitLab, щоб приховати свої повідомлення.
Фінансово мотивовані злочинці приєдналися до хвилі атак, починаючи з 5 грудня, встановивши програмне забезпечення для майнінгу криптовалют, яке таємно використовує обчислювальну потужність жертв для створення Monero.
Ці майнери постійно працюють у фоновому режимі, збільшуючи витрати на електроенергію, одночасно приносячи прибуток зловмисникам. Підпільні хакерські форуми швидко заповнилися дискусіями, де ділилися інструментами атак і досвідом використання.
Історична схема атак на ланцюг поставок продовжується
Уразливість React слідує за a Атака 8 вересня, під час якої хакери скомпрометували обліковий запис npm Джоша Голдберга і опублікував шкідливі оновлення для 18 широко використовуваних пакетів, включаючи chalk, debug і strip-ansi.
Ці утиліти разом забезпечують понад 2,6 мільярда завантажень щотижня, і дослідники виявили зловмисне програмне забезпечення crypto-clipper, яке перехоплює функції браузера, щоб замінити законні адреси гаманців на адреси, контрольовані зловмисниками.
Технічний директор Ledger Чарльз Гійме описав цей інцидент як «широкомасштабна атака на ланцюг поставок,», що радить користувачам без апаратних гаманців уникати транзакцій у мережі.
Зловмисники отримали доступ через фішингові кампанії видаючи себе за підтримку npm, стверджуючи, що облікові записи буде заблоковано, якщо облікові дані двофакторної автентифікації не будуть оновлені до 10 вересня.
Дані Global Ledger показують, що хакери вкрали понад 3 мільярди доларів у 119 інцидентах у першій половині 2025 року, при цьому 70% порушень, пов’язаних із переміщенням коштів, було переміщено до того, як вони стали публічними.
Лише 4,2% викрадених активів вдалося відновити, оскільки відмивання тепер займає секунди, а не години.
На даний момент організаціям, які використовують React або Next.js, рекомендується негайно встановити виправлення до версій 19.0.1, 19.1.2 або 19.2.1, розгорнути правила WAF, перевірити всі залежності, відстежувати мережевий трафік для команд wget або cURL, ініційованих процесами веб-сервера, і шукати несанкціоновані приховані каталоги або зловмисні ін’єкції конфігурації оболонки.
Пост Серйозний злом бібліотеки JavaScript ставить під загрозу всі криптографічні веб-сайти вперше з’явився на Криптоновини.