Eksperci ds. cyberbezpieczeństwa ostrzegają przed rosnącą falą drainerów portfeli kryptowalutowych, które są cicho wstrzykiwane do legalnych stron internetowych poprzez nowo ujawnioną lukę w popularnej bibliotece JavaScript React.
Według organizacji non-profit Security Alliance (SEAL), napastnicy aktywnie wykorzystują krytyczną lukę w React, aby wprowadzać złośliwy kod, który może opróżniać portfele kryptowalutowe użytkowników — często bez wiedzy właścicieli stron internetowych, że coś jest nie tak.
Luka w React umożliwia zdalne wykonywanie kodu
Problem, śledzony jako CVE-2025-55182, został ujawniony 3 grudnia przez zespół React po jego zidentyfikowaniu przez badacza z białym kapeluszem Lachlana Davidsona. Luka umożliwia zdalne wykonywanie kodu bez uwierzytelnienia, co oznacza, że napastnicy mogą wstrzykiwać i uruchamiać dowolny kod na dotkniętych stronach internetowych.
React jest jednym z najczęściej używanych frameworków front-endowych na świecie, wspierając miliony aplikacji internetowych — w tym wiele platform kryptograficznych, aplikacji DeFi i stron NFT.
SEAL informuje, że złośliwi aktorzy teraz wykorzystują tę lukę do wstrzykiwania skryptów opróżniających portfel na inaczej legalne strony kryptograficzne.
„Obserwujemy duży wzrost liczby drainerów przesyłanych na legalne strony kryptograficzne przez wykorzystanie ostatniego CVE React,” powiedział zespół SEAL.
„Wszystkie witryny powinny teraz przeglądać kod front-endowy pod kątem podejrzanych zasobów.”
Nie tylko Web3: Wszystkie witryny są zagrożone
Chociaż platformy kryptograficzne są głównym celem z powodu korzyści finansowych, SEAL podkreślił, że nie ogranicza się to tylko do projektów Web3.
Każda witryna uruchamiająca podatne komponenty serwera React może zostać skompromitowana, narażając użytkowników na złośliwe okna pop-up lub żądania podpisu zaprojektowane w celu oszukania ich w zatwierdzaniu transakcji, które opróżniają ich portfele.
Użytkownicy są wzywani do zachowania ekstremalnej ostrożności podczas podpisywania jakichkolwiek zezwoleń lub zatwierdzeń portfela, nawet na stronach, którym ufają.
Ostrzegawcze znaki: Flagi phishingowe i zatarte kody
SEAL zauważył, że niektóre dotknięte witryny mogą nagle otrzymać ostrzeżenia o phishingu od przeglądarek lub dostawców portfeli bez wyraźnego powodu. Może to być sygnał, że ukryty kod drainer został wprowadzony.
Operatorzy witryn są zalecani do:
Skanuj serwery pod kątem CVE-2025-55182
Sprawdź, czy kod front-endowy ładuje zasoby z nieznanych domen
Szukaj zatartego JavaScriptu w skryptach
Zweryfikuj, czy żądania podpisu portfela pokazują poprawny adres odbiorcy
„Jeśli Twój projekt jest blokowany, to może być powód,” powiedział SEAL, wzywając programistów do przeglądu swojego kodu przed odwołaniem się od ostrzeżeń o phishingu.
React wydał poprawkę, wzywając do natychmiastowych aktualizacji
Zespół React już wydał poprawkę i zdecydowanie zaleca programistom natychmiastową aktualizację, jeśli korzystają z któregokolwiek z następujących pakietów:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React wyjaśnił, że aplikacje, które nie używają komponentów serwera React lub kodu React po stronie serwera, nie są dotknięte tą podatnością, zgodnie z Cointelegraph.