React漏洞被黑客利用，加密貨幣網站遭遇JavaScript竊取程式攻擊潮

近期，一类針對加密貨幣用戶的前端攻擊正在快速蔓延。據網路安全非營利組織安全聯盟（SEAL）披露，黑客正利用開源前端 JavaScript 庫 React 中的新發現漏洞，在合法網站中植入加密貨幣竊取程式，相關攻擊案例顯著增加。

React 是當前最主流的 Web 前端框架之一，被廣泛用於構建各類網站和 Web 應用。12 月 3 日，React 官方披露，由白帽黑客 Lachlan Davidson 發現了一個嚴重安全漏洞，編號為 CVE-2025-55182。該漏洞允許未經身份驗證的遠端程式碼執行，攻擊者可藉此在網站前端注入並運行惡意程式碼。

SEAL 指出，攻擊者正透過該漏洞，秘密向加密貨幣相關網站添加錢包竊取程式。這些惡意腳本通常偽裝成正常的前端元件或資源，在用戶毫無察覺的情況下運行，誘導用戶簽署惡意交易，從而直接竊取錢包資產。常見手段包括虛假獎勵彈窗、釣魚授權請求等。

值得注意的是，SEAL 強調，此次攻擊並不僅限於 Web3 或 DeFi 項目，任何使用受影響 React 元件的網站都存在風險。普通用戶在連接錢包、簽署任何鏈上授權或交易時，都應保持高度警覺，仔細核對收款地址和簽名內容。

對於網站運營方，SEAL 建議立即進行全面排查，包括掃描伺服器是否存在 CVE-2025-55182 漏洞，檢查前端程式碼是否從未知主機載入資源，識別是否存在混淆的 JavaScript 腳本，以及核實錢包簽名請求中顯示的收款人資訊是否異常。部分受影響網站可能會在未明確原因的情況下被瀏覽器或安全服務標記為釣魚頁面。

React 官方已於 12 月 3 日發布漏洞修復補丁，並建議所有使用 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 的專案立即升級。官方同時說明，未使用 React 伺服器元件的應用不受此次漏洞影響。

在當前加密安全形勢趨緊的背景下，此類前端供應鏈攻擊再次提醒產業，Web 安全已成為加密生態中不可忽視的系統性風險。（Cointelegraph）