Ошибка React вызывает атаки, приводящие к утечке средств из кошельков, поскольку хакеры атакуют криптовалютные сайты

Критическая уязвимость RCE в React Server Components используется злоумышленниками для захвата серверов, обхода криптокошельков, установки майнеров Monero и усугубления волны краж в $3B 2025 году, несмотря на срочные просьбы о патчах.​

Краткое содержание

• Security Alliance и Google TIG заявляют, что злоумышленники используют CVE-2025-55182 в React Server Components для выполнения произвольного кода, кражи подписей разрешений и опустошения криптокошельков.
• Команды Vercel, Meta и разработчики фреймворков срочно выпустили патчи и правила WAF, однако исследователи обнаружили две новые уязвимости RSC и предупреждают о рисках цепочки поставок JavaScript, таких как взлом npm Josh Goldberg.
• Global Ledger сообщает о более чем $3B украденных средствах за 119 взломов в первой половине 2025 года, при этом средства выводятся за минуты с помощью мостов и приватных монет, таких как Monero, а только 4,2% возвращено.

Критическая уязвимость безопасности в React Server Components вызвала срочные предупреждения в криптоиндустрии, так как злоумышленники используют этот недостаток для опустошения кошельков и установки вредоносных программ, сообщается в Security Alliance.

Security Alliance заявил, что крипто-крадены активно используют CVE-2025-55182, призывая все веб-сайты немедленно проверить свой фронтенд-код на наличие подозрительных активов. Уязвимость затрагивает не только протоколы Web3, но и все сайты, использующие React, при этом злоумышленники нацеливаются на подписи разрешений на разных платформах.

Пользователи под угрозой при подписании транзакций, так как вредоносный код перехватывает коммуникацию кошелька и перенаправляет средства на адреса, контролируемые злоумышленниками, отмечают эксперты по безопасности.

Официальная команда React раскрыла CVE-2025-55182 3 декабря, присвоив ей оценку CVSS 10.0 после отчета Lachlan Davidson от 29 ноября через Meta Bug Bounty. Уязвимость выполнения произвольного кода на удаленной системе эксплуатирует способ обработки React полезных нагрузок, отправленных на конечные точки Server Function, позволяя злоумышленникам создавать вредоносные HTTP-запросы, выполняющие произвольный код на серверах, говорится в сообщении.

Новые версии React

Уязвимость затрагивает версии React 19.0, 19.1.0, 19.1.1 и 19.2.0 для пакетов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Крупные фреймворки, включая Next.js, React Router, Waku и Expo, требуют немедленного обновления, согласно рекомендации.

Патчи выпущены в версиях 19.0.1, 19.1.2 и 19.2.1, при этом пользователям Next.js необходимо обновить несколько веток релизов с 14.2.35 до 16.0.10, согласно примечаниям к релизам.

Исследователи обнаружили две новые уязвимости в React Server Components при попытках эксплуатировать патчи, сообщают источники. Это новые проблемы, отличные от критической CVE. Патч для React2Shell остается действенным против эксплойта выполнения кода на удаленной системе, заявили исследователи.

Vercel внедрила правила WAF для автоматической защиты проектов на своей платформе, однако компания подчеркнула, что одной защиты WAF недостаточно. Необходимы немедленные обновления до исправленной версии, заявила Vercel в своем бюллетене безопасности от 3 декабря, добавив, что уязвимость затрагивает приложения, обрабатывающие ненадежные входные данные, позволяющие выполнение удаленного кода.

Google Threat Intelligence Group зафиксировала масштабные атаки, начавшиеся 3 декабря, отслеживая преступные группы от случайных хакеров до государственных операций. Хакерские группы Китая устанавливали различные виды вредоносного ПО на скомпрометированные системы, в основном на облачные серверы Amazon Web Services и Alibaba Cloud, говорится в отчете.

Злоумышленники использовали техники для долгосрочного доступа к системам жертв, отмечают в Google Threat Intelligence Group. Некоторые группы устанавливали программы, создающие туннели удаленного доступа, другие — постоянно скачивали дополнительные вредоносные инструменты, маскируемые под легитимные файлы. Вредоносное ПО скрывается в системных папках и автоматически перезапускается для избежания обнаружения, сообщили исследователи.

Финансово мотивированные преступники присоединились к волне атак с 5 декабря, устанавливая программное обеспечение для майнинга криптовалют, использующее вычислительную мощность жертв для генерации Monero, рассказывают эксперты по безопасности. Эти майнеры работают постоянно, увеличивая расходы на электроэнергию и одновременно принося прибыль злоумышленникам. В подпольных форумах по взлому быстро появились обсуждения инструментов атак и опыта эксплуатации, заметили исследователи.

Уязвимость React следует за атакой 8 сентября, когда хакеры взломали аккаунт npm Джоша Голдберга и опубликовали вредоносные обновления для 18 широко используемых пакетов, включая chalk, debug и strip-ansi. Эти утилиты вместе скачиваются более 2.6 миллиарда раз в неделю, а исследователи обнаружили вредоносное ПО crypto-clipper, перехватывающее функции браузера для замены легитимных адресов кошельков на управляемые злоумышленниками.

CTO Ledger Charles Guillemet охарактеризовал этот инцидент как «атаку масштабной цепочки поставок», советуя пользователям без аппаратных кошельков избегать транзакций в блокчейне. Злоумышленники получили доступ через фишинговые кампании, выдавая себя за поддержку npm, утверждая, что аккаунты будут заблокированы, если не обновить двухфакторные данные до 10 сентября, сообщил Guillemet.

Хакеры крадут криптовалюту и переводят ее быстрее, один процесс отмывания средств занимает всего 2 минуты 57 секунд, по данным отраслевых источников.

Данные Global Ledger показывают, что хакеры украли более $3 миллиардов за 119 инцидентов в первой половине 2025 года, при этом 70% нарушений связаны с переводом средств до их публикации. Только 4,2% украденных активов было возвращено, поскольку отмывание теперь занимает секунды, а не часы, говорится в отчете.

Организации, использующие React или Next.js, рекомендуют немедленно обновиться до версий 19.0.1, 19.1.2 или 19.2.1, внедрять правила WAF, проверять все зависимости, следить за сетевым трафиком на предмет команд wget или cURL, инициируемых процессами веб-сервера, и искать несанкционированные скрытые директории или вредоносные инъекции в конфигурацию оболочки, советуют эксперты по безопасности.