Un bug React déclenche des attaques de drain de portefeuille alors que des hackers ciblent des sites Web cryptographiques

Une vulnérabilité critique RCE dans React Server Components est en cours de militarisation pour pirater des serveurs, drainer des portefeuilles crypto, planter des mineurs Monero et intensifier une vague de vols en (2025 malgré des appels urgents à la correction.

Résumé

• L’Alliance de la Sécurité et Google TIG indiquent que les attaquants exploitent CVE-2025-55182 dans React Server Components pour exécuter du code arbitraire, voler des signatures de permis et drainer des portefeuilles crypto.
• Vercel, Meta et les équipes de frameworks ont déployé des correctifs et des règles WAF rapidement, mais des chercheurs ont découvert deux nouvelles vulnérabilités RSC et mettent en garde contre des risques liés à la chaîne d’approvisionnement JavaScript comme le hack npm de Josh Goldberg qui persiste.
• Global Ledger rapporte que plus de ) milliards ont été volés lors de 119 piratages au premier semestre 2025, avec des fonds blanchis en quelques minutes via des ponts et des monnaies privées comme Monero, et seulement 4,2 % récupérés.

Une vulnérabilité de sécurité critique dans React Server Components a suscité des avertissements urgents dans l’industrie de la cryptographie, car des acteurs malveillants exploitent la faille pour drainer des portefeuilles et déployer des logiciels malveillants, selon Security Alliance.

Security Alliance a annoncé que les drainers crypto exploitent activement CVE-2025-55182, exhortant tous les sites web à examiner immédiatement leur code front-end pour détecter des actifs suspects. La vulnérabilité concerne non seulement les protocoles Web3, mais tous les sites utilisant React, avec des attaquants ciblant les signatures de permis sur toutes les plateformes.

Les utilisateurs risquent lorsqu’ils signent des transactions, car un code malveillant intercepte les communications du portefeuille et redirige les fonds vers des adresses contrôlées par l’attaquant, selon des chercheurs en sécurité.

L’équipe officielle de React a divulgué CVE-2025-55182 le 3 décembre, en l’évaluant à CVSS 10.0 suite au rapport de Lachlan Davidson du 29 novembre via le programme de Bug Bounty de Meta. La vulnérabilité d’exécution de code à distance non authentifiée exploite la façon dont React décode les charges utiles envoyées aux points de terminaison Server Function, permettant aux attaquants de créer des requêtes HTTP malveillantes qui exécutent du code arbitraire sur les serveurs, selon la divulgation.

Nouvelles versions de React

Ce défaut affecte les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de React dans les packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack. Les frameworks majeurs, notamment Next.js, React Router, Waku et Expo, nécessitent une mise à jour immédiate, selon l’avis.

Les correctifs ont été déployés dans les versions 19.0.1, 19.1.2 et 19.2.1, les utilisateurs de Next.js devant effectuer des mises à jour sur plusieurs branches de version allant de 14.2.35 à 16.0.10, selon les notes de version.

Les chercheurs ont découvert deux nouvelles vulnérabilités dans React Server Components en tentant d’exploiter les correctifs, selon des rapports. Il s’agit de nouveaux problèmes, distincts de la CVE critique. La mise à jour pour React2Shell reste efficace contre l’exploitation de l’exécution de code à distance, ont indiqué les chercheurs.

Vercel a déployé des règles de pare-feu applicatif web pour protéger automatiquement ses projets sur sa plateforme, mais l’entreprise a souligné que la protection WAF seule reste insuffisante. Une mise à jour immédiate vers une version corrigée est nécessaire, a déclaré Vercel dans son bulletin de sécurité du 3 décembre, ajoutant que la vulnérabilité concerne les applications traitant des entrées non fiables de manière à permettre l’exécution de code à distance.

Google Threat Intelligence Group a documenté des attaques généralisées à partir du 3 décembre, suivant des groupes criminels allant de hackers opportunistes à des opérations soutenues par des gouvernements. Des groupes de piratage chinois ont installé divers types de malwares sur des systèmes compromis, ciblant principalement des serveurs cloud sur Amazon Web Services et Alibaba Cloud, selon le rapport.

Ces attaquants ont employé des techniques pour maintenir un accès à long terme aux systèmes victimes, selon Google Threat Intelligence Group. Certains groupes ont installé des logiciels créant des tunnels d’accès à distance, tandis que d’autres ont déployé des programmes qui téléchargent en continu des outils malveillants déguisés en fichiers légitimes. Les malwares se cachent dans les dossiers système et redémarrent automatiquement pour éviter la détection, ont rapporté les chercheurs.

Des criminels motivés financièrement ont rejoint la vague d’attaques à partir du 5 décembre, en installant des logiciels de minage crypto utilisant la puissance de calcul des victimes pour générer du Monero, selon des chercheurs en sécurité. Ces mineurs fonctionnent en permanence en arrière-plan, augmentant la consommation électrique tout en générant des profits pour les attaquants. Les forums de hacking clandestins se sont rapidement remplis de discussions partageant des outils d’attaque et des expériences d’exploitation, ont observé les chercheurs.

La vulnérabilité React fait suite à une attaque du 8 septembre où des hackers ont compromis le compte npm de Josh Goldberg et publié des mises à jour malveillantes pour 18 packages largement utilisés, dont chalk, debug et strip-ansi. Ces utilitaires représentent collectivement plus de 2,6 milliards de téléchargements hebdomadaires, et des chercheurs ont découvert un malware de cryptoclipper interceptant les fonctions du navigateur pour échanger les adresses de portefeuille légitimes contre celles contrôlées par l’attaquant.

Charles Guillemet, CTO de Ledger, a décrit cet incident comme une « attaque à l’échelle de la chaîne d’approvisionnement », conseillant aux utilisateurs sans portefeuille matériel d’éviter les transactions en chaîne. Les attaquants ont obtenu l’accès via des campagnes de phishing se faisant passer pour le support npm, affirmant que les comptes seraient verrouillés à moins que les identifiants de double authentification ne soient mis à jour avant le 10 septembre, selon Guillemet.

Les hackers volent des crypto-monnaies et les déplacent plus rapidement, avec un processus de blanchiment rapporté en seulement 2 minutes 57 secondes, selon des données industrielles.

Les données de Global Ledger montrent que les hackers ont volé plus de $3B milliards lors de 119 incidents au premier semestre 2025, 70 % des violations impliquant le déplacement des fonds avant leur divulgation publique. Seulement 4,2 % des actifs volés ont été récupérés, car le blanchiment prend désormais en quelques secondes plutôt qu’en heures, selon le rapport.

Les organisations utilisant React ou Next.js sont conseillées de corriger immédiatement vers les versions 19.0.1, 19.1.2 ou 19.2.1, de déployer des règles WAF, d’auditer toutes les dépendances, de surveiller le trafic réseau pour des commandes wget ou cURL initiées par les processus du serveur web, et de rechercher des répertoires cachés non autorisés ou des injections malveillantes dans la configuration du shell, selon les avis de sécurité.