Эксперты в области кибербезопасности предупреждают о нарастающей волне дренажей криптокошельков, которые тихо внедряются в законные веб-сайты через недавно раскрытую уязвимость в популярной библиотеке JavaScript React.
Согласно некоммерческой организации Security Alliance (SEAL), злоумышленники активно используют критическую уязвимость в React для внедрения вредоносного кода, который может опустошить криптокошельки пользователей — часто без того, чтобы владельцы сайтов замечали что-то не так.
Уязвимость React позволяет удаленное выполнение кода
Проблема, отслеживаемая как CVE-2025-55182, была раскрыта 3 декабря командой React после того, как ее идентифицировал исследователь в области кибербезопасности Лахлан Дэвидсон. Уязвимость позволяет выполнять неаутентифицированный удаленный код, что означает, что злоумышленники могут внедрять и запускать произвольный код на затронутых веб-сайтах.
React является одной из самых широко используемых фронтальных платформ в мире, поддерживая миллионы веб-приложений — включая многие крипто-платформы, DeFi приложения и NFT сайты.
SEAL говорит, что злоумышленники теперь используют этот недостаток для внедрения сценариев, опустошающих кошельки, на в противном случае легитимные крипто-сайты.
«Мы наблюдаем значительный рост дренажеров, загружаемых на легитимные крипто-сайты через эксплуатацию недавней уязвимости React CVE», - сказала команда SEAL.
«Все веб-сайты должны немедленно проверить фронтальный код на наличие подозрительных ресурсов.»
Не только Web3: Все веб-сайты под угрозой
Хотя крипто-платформы являются основной целью из-за финансовой выгоды, SEAL подчеркнул, что это не ограничивается проектами Web3.
Любой веб-сайт, использующий уязвимые компоненты сервера React, может быть скомпрометирован, подвергая пользователей вредоносным всплывающим окнам или запросам на подпись, предназначенным для обмана их при одобрении транзакций, которые опустошают их кошельки.
Пользователи призваны проявлять крайнее осторожность при подписании любого разрешения или утверждения кошелька, даже на сайтах, которым они доверяют.
Предупреждающие знаки: фишинг и обфусцированный код
SEAL отметил, что некоторые затронутые веб-сайты могут внезапно получать предупреждения о фишинге от браузеров или поставщиков кошельков без явной причины. Это может быть сигналом о том, что скрытый код дренажера был внедрен.
Операторам веб-сайтов рекомендуется:
Сканируйте серверы на наличие CVE-2025-55182
Проверьте, загружает ли фронтальный код ресурсы с неизвестных доменов
Ищите обфусцированный JavaScript в скриптах
Проверьте, что запросы на подпись кошелька показывают правильный адрес получателя
«Если ваш проект блокируется, это может быть причиной», - сказал SEAL, призывая разработчиков пересмотреть свой код перед подачей апелляции на предупреждения о фишинге.
React выпустил исправление, призывая к немедленным обновлениям
Команда React уже выпустила патч и настоятельно рекомендует разработчикам немедленно обновиться, если они используют любые из следующих пакетов:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React уточнил, что приложения, не использующие компоненты сервера React или код React на стороне сервера, не подвержены этой уязвимости, согласно Cointelegraph.
