Especialistas em cibersegurança estão alertando sobre uma onda crescente de drenadores de carteiras de criptomoedas sendo silenciosamente injetados em sites legítimos através de uma vulnerabilidade recém-divulgada na popular biblioteca JavaScript React.
De acordo com a organização sem fins lucrativos Security Alliance (SEAL), atacantes estão explorando ativamente uma falha crítica no React para plantar código malicioso que pode drenar as carteiras de criptomoedas dos usuários – muitas vezes sem que os proprietários dos sites percebam que algo está errado.
Vulnerabilidade do React Permite Execução Remota de Código
O problema, rastreado como CVE-2025-55182, foi divulgado em 3 de dezembro pela equipe do React após ser identificado pelo pesquisador de chapéu branco Lachlan Davidson. A vulnerabilidade permite a execução remota de código não autenticada, o que significa que os atacantes podem injetar e executar código arbitrário em sites afetados.
React é um dos frameworks front-end mais amplamente utilizados no mundo, alimentando milhões de aplicações web — incluindo muitas plataformas de criptomoedas, aplicativos DeFi e sites NFT.
A SEAL afirma que atores maliciosos estão agora aproveitando essa falha para injetar scripts que drenam carteiras em sites de criptomoedas que de outra forma seriam legítimos.
“Estamos observando um grande aumento em draineres carregados em sites de criptomoedas legítimos através da exploração do recente CVE React,” disse a equipe da SEAL.
“Todos os sites devem revisar o código front-end para quaisquer ativos suspeitos AGORA.”
Não Apenas Web3: Todos os Sites Estão em Risco
Embora as plataformas de criptomoedas sejam um alvo principal devido ao potencial financeiro, a SEAL enfatizou que isso não se limita a projetos Web3.
Qualquer site que execute componentes de servidor React vulneráveis pode ser comprometido, expondo os usuários a pop-ups maliciosos ou pedidos de assinatura projetados para enganá-los a aprovar transações que esvaziam suas carteiras.
Os usuários são aconselhados a ter extrema cautela ao assinar qualquer permissão ou aprovação de carteira, mesmo em sites de sua confiança.
Sinais de Alerta: Bandeiras de Phishing e Código Ofuscado
A SEAL observou que alguns sites afetados podem de repente receber alertas de phishing de navegadores ou provedores de carteiras sem uma razão clara. Isso pode ser um sinal de que um código drainer oculto foi injetado.
Os operadores de sites são aconselhados a:
Escaneie servidores para CVE-2025-55182
Verifique se o código front-end está carregando ativos de domínios desconhecidos
Procure por JavaScript ofuscado em scripts
Verifique se os pedidos de assinatura da carteira mostram o endereço do destinatário correto
“Se o seu projeto estiver sendo bloqueado, essa pode ser a razão”, disse a SEAL, instando os desenvolvedores a revisar seu código antes de contestar alertas de phishing.
React Lança Correção, Recomenda Atualizações Imediatas
A equipe do React já lançou um patch e recomenda fortemente que os desenvolvedores atualizem imediatamente se estiverem usando algum dos seguintes pacotes:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
O React esclareceu que aplicações que não utilizam Componentes de Servidor React ou código React do lado do servidor não são afetadas por essa vulnerabilidade, de acordo com o Cointelegraph.