Los expertos en ciberseguridad están advirtiendo sobre una creciente ola de drenadores de billeteras de criptomonedas que están siendo inyectados silenciosamente en sitios web legítimos a través de una vulnerabilidad recién divulgada en la popular biblioteca de JavaScript React.
Según la organización sin fines de lucro Security Alliance (SEAL), los atacantes están explotando activamente una falla crítica en React para plantar código malicioso que puede drenar las billeteras de criptomonedas de los usuarios, a menudo sin que los propietarios del sitio web se den cuenta de que algo está mal.
La vulnerabilidad de React permite la ejecución remota de código
El problema, rastreado como CVE-2025-55182, fue revelado el 3 de diciembre por el equipo de React después de ser identificado por el investigador de sombrero blanco Lachlan Davidson. La vulnerabilidad permite la ejecución remota de código no autenticado, lo que significa que los atacantes pueden inyectar y ejecutar código arbitrario en sitios web afectados.
React es uno de los frameworks de front-end más utilizados en el mundo, potenciado millones de aplicaciones web, incluidas muchas plataformas de criptomonedas, aplicaciones DeFi y sitios NFT.
SEAL dice que los actores maliciosos ahora están aprovechando esta falla para inyectar scripts de drenaje de carteras en sitios web de criptomonedas de otro modo legítimos.
“Estamos observando un gran aumento en los drainer subidos a sitios web de criptomonedas legítimos a través de la explotación del reciente CVE de React,” dijo el equipo de SEAL.
“Todos los sitios web deben revisar el código de front-end en busca de activos sospechosos AHORA.”
No solo Web3: Todos los sitios web están en riesgo
Si bien las plataformas de criptomonedas son un objetivo principal debido a la ventaja financiera, SEAL enfatizó que esto no se limita a proyectos de Web3.
Cualquier sitio web que ejecute componentes de servidor React vulnerables podría ser comprometido, exponiendo a los usuarios a ventanas emergentes maliciosas o solicitudes de firma diseñadas para engañarlos y aprobar transacciones que drenen sus carteras.
Se insta a los usuarios a ejercer extrema precaución al firmar cualquier permiso o aprobación de cartera, incluso en sitios en los que confían.
Señales de advertencia: Banderas de phishing y código ofuscado
SEAL señaló que algunos sitios web afectados pueden recibir de repente advertencias de phishing de navegadores o proveedores de carteras sin una razón clara. Esto puede ser una señal de que se ha inyectado código drainer oculto.
Se aconseja a los operadores de sitios web que:
Escanear servidores para CVE-2025-55182
Verifique si el código de front-end está cargando activos de dominios desconocidos
Busque JavaScript ofuscado en scripts
Verifique que las solicitudes de firma de cartera muestren la dirección del destinatario correcta
“Si su proyecto está siendo bloqueado, esa puede ser la razón,” dijo SEAL, instando a los desarrolladores a revisar su código antes de apelar las advertencias de phishing.
React lanza una solución, insta a actualizaciones inmediatas
El equipo de React ya ha lanzado un parche y recomienda encarecidamente que los desarrolladores actualicen de inmediato si están utilizando alguno de los siguientes paquetes:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React aclaró que las aplicaciones que no utilizan Componentes de Servidor React o código de React del lado del servidor no se ven afectadas por esta vulnerabilidad, según Cointelegraph.