Experții în securitate cibernetică avertizează asupra unei valuri crescânde de draineri de portofele crypto fiind injectați în tăcere în site-uri legitime printr-o vulnerabilitate recent dezvăluită în biblioteca populară JavaScript React.
Conform organizației nonprofit Security Alliance (SEAL), atacatorii exploatează activ o vulnerabilitate critică în React pentru a planta cod malițios care poate goli portofelele crypto ale utilizatorilor — adesea fără ca proprietarii site-urilor să realizeze că ceva nu este în regulă.
Vulnerabilitatea React permite executarea de cod de la distanță
Problema, urmărită ca CVE-2025-55182, a fost dezvăluită pe 3 decembrie de echipa React după ce a fost identificată de cercetătorul white-hat Lachlan Davidson. Vulnerabilitatea permite executarea de cod de la distanță fără autentificare, ceea ce înseamnă că atacatorii pot injecta și rula cod arbitrar pe site-urile afectate.
React este unul dintre cele mai utilizate cadre front-end din lume, alimentând milioane de aplicații web — inclusiv multe platforme crypto, aplicații DeFi și site-uri NFT.
SEAL spune că actorii malițioși folosesc acum această vulnerabilitate pentru a injecta scripturi de drenare a portofelului în site-uri crypto otherwise legitime.
„Observăm o creștere semnificativă a drenatorilor încărcați pe site-uri crypto legitime prin exploatarea recentului CVE React,” a spus echipa SEAL.
„Toate site-urile ar trebui să revizuiască codul front-end pentru orice resurse suspecte ACUM.”
Nu doar Web3: Toate site-urile sunt în pericol
Deși platformele crypto sunt o țintă principală din cauza avantajului financiar, SEAL a subliniat că aceasta nu se limitează la proiectele Web3.
Orice site care rulează componente React vulnerabile ar putea fi compromis, expunând utilizatorii la pop-up-uri malițioase sau solicitări de semnătură concepute pentru a-i păcăli să aprobe tranzacții care le golesc portofelele.
Utilizatorii sunt rugați să exercite o prudență extremă atunci când semnează orice permisiune sau aprobată a portofelului, chiar și pe site-uri de încredere.
Semne de avertizare: Steaguri de phishing și cod obfuscat
SEAL a observat că unele site-uri afectate pot primi brusc alerte de phishing din partea browserelor sau furnizorilor de portofele fără un motiv clar. Acesta poate fi un semnal că codul de drenare ascuns a fost injectat.
Operatorii de site-uri sunt sfătuiți să:
Scanați serverele pentru CVE-2025-55182
Verificați dacă codul front-end încarcă resurse din domenii necunoscute
Căutați JavaScript obfuscat în scripturi
Verificați că solicitările de semnătură a portofelului arată adresa corectă a destinatarului
„Dacă proiectul dumneavoastră este blocat, aceasta ar putea fi cauza”, a spus SEAL, îndemnând dezvoltatorii să-și revizuiască codul înainte de a contesta alertele de phishing.
React a lansat o corecție, îndemnând actualizări imediate
Echipa React a lansat deja un patch și recomandă cu tărie dezvoltatorilor să facă upgrade imediat dacă folosesc oricare dintre următoarele pachete:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React a clarificat că aplicațiile care nu folosesc componente React Server sau cod React pe server nu sunt afectate de această vulnerabilitate, conform Cointelegraph.