Експерти з кібербезпеки попереджають про зростаючу хвилю крипто-гаманець дренажів, які тихо впроваджуються в легітимні вебсайти через нещодавно розкриту вразливість у популярній бібліотеці JavaScript React.
Згідно з некомерційною організацією Security Alliance (SEAL), зловмисники активно використовують критичну уразливість у React, щоб впроваджувати шкідливий код, який може виводити крипто-гаманець користувачів — часто без усвідомлення власників вебсайтів, що щось не так.
Уразливість React Дозволяє Виконання Кодів Віддалено
Проблема, зафіксована як CVE-2025-55182, була розкрита 3 грудня командою React після того, як її виявив дослідник з білим капелюхом Лахлан Девідсон. Ця вразливість дозволяє виконувати код віддалено без аутентифікації, що означає, що зловмисники можуть впроваджувати та запускати довільний код на уражених вебсайтах.
React є одним з найширше використовуваних фреймворків фронтенду у світі, що живить мільйони веб-додатків — включаючи багато криптоплатформ, DeFi додатків та NFT сайтів.
SEAL повідомляє, що зловмисники тепер використовують цю вразливість для впровадження скриптів для висмоктування гаманців на інакше легітимних криптовеб-сайтах.
“Ми спостерігаємо за великим зростанням дренерів, завантажених на легітимні криптовеб-сайти через експлуатацію нещодавнього React CVE,” сказала команда SEAL.
“Всі веб-сайти повинні переглянути фронтенд-код на наявність підозрілих активів ЗАРАЗ.”
Не тільки Web3: всі веб-сайти під загрозою
Хоча криптоплатформи є основною метою через фінансові переваги, SEAL підкреслив, що це не обмежується проектами Web3.
Будь-який веб-сайт, на якому працюють вразливі компоненти серверного React, може бути скомпрометований, що піддає користувачів небезпечним спливаючим вікнам або запитам на підпис, які призначені для того, щоб обманом змусити їх схвалити транзакції, які висмоктують їхні гаманці.
Користувачам настійно рекомендується бути надзвичайно обережними при підписанні будь-яких дозволів або схвалень гаманця, навіть на сайтах, яким вони довіряють.
Попереджувальні знаки: Прапори фішингу та обфускований код
SEAL відзначив, що деякі постраждалі веб-сайти можуть раптово отримати попередження про фішинг від браузерів або постачальників гаманців без чіткої причини. Це може бути сигналом про те, що прихований код дренера був введений.
Операторам веб-сайтів рекомендується:
Скануйте сервери на CVE-2025-55182
Перевірте, чи завантажує фронтенд-код активи з невідомих доменів
Шукайте обфускований JavaScript у скриптах
Перевірте, щоб запити підпису гаманця показували правильну адресу отримувача
“Якщо ваш проект заблоковано, це може бути причиною,” сказав SEAL, закликаючи розробників переглянути свій код перед оскарженням попереджень про фішинг.
React випустив виправлення, закликаючи до термінових оновлень
Команда React вже випустила патч і настійно рекомендує розробникам терміново оновитися, якщо вони використовують будь-які з наступних пакетів:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React уточнив, що додатки, які не використовують компоненти серверного React або код React на стороні сервера, не підпадають під цю вразливість, згідно з Cointelegraph.