Các chuyên gia an ninh mạng đang cảnh báo về một làn sóng ngày càng tăng của các công cụ rút cạn ví tiền điện tử được tiêm vào các trang web hợp pháp một cách âm thầm thông qua một lỗ hổng mới được công bố trong thư viện JavaScript phổ biến React.
Theo tổ chức phi lợi nhuận Security Alliance (SEAL), các kẻ tấn công đang khai thác một lỗ hổng nghiêm trọng trong React để cài đặt mã độc có thể rút cạn ví tiền điện tử của người dùng — thường mà không để cho các chủ sở hữu trang web nhận ra có điều gì sai trái.
Lỗ Hổng React Cho Phép Thực Thi Mã Từ Xa
Vấn đề, được theo dõi với mã CVE-2025-55182, đã được công bố vào ngày 3 tháng 12 bởi nhóm React sau khi được nhà nghiên cứu mũ trắng Lachlan Davidson xác định. Lỗ hổng cho phép thực thi mã từ xa không xác thực, có nghĩa là các kẻ tấn công có thể chèn và chạy mã tùy ý trên các trang web bị ảnh hưởng.
React là một trong những framework front-end được sử dụng rộng rãi nhất trên thế giới, cung cấp năng lượng cho hàng triệu ứng dụng web — bao gồm nhiều nền tảng crypto, ứng dụng DeFi và trang web NFT.
SEAL cho biết các tác nhân độc hại hiện đang tận dụng lỗ hổng này để chèn các tập lệnh làm cạn kiệt ví vào các trang web crypto hợp pháp khác.
“Chúng tôi đang quan sát sự gia tăng lớn trong các trình làm cạn kiệt được tải lên các trang web crypto hợp pháp thông qua việc khai thác lỗ hổng React CVE gần đây,” nhóm SEAL nói.
“Tất cả các trang web nên xem xét mã front-end cho bất kỳ tài sản đáng ngờ nào NGAY BÂY GIỜ.”
Không chỉ Web3: Tất cả các trang web đều có rủi ro
Trong khi các nền tảng crypto là mục tiêu chính do lợi nhuận tài chính, SEAL nhấn mạnh rằng điều này không giới hạn ở các dự án Web3.
Bất kỳ trang web nào chạy các thành phần máy chủ React dễ bị tổn thương đều có thể bị xâm phạm, làm lộ người dùng trước các cửa sổ bật lên độc hại hoặc các yêu cầu chữ ký được thiết kế để lừa họ phê duyệt các giao dịch làm cạn kiệt ví của họ.
Người dùng được khuyến cáo nên hết sức cẩn thận khi ký bất kỳ giấy phép hoặc phê duyệt ví nào, ngay cả trên các trang web mà họ tin tưởng.
Dấu hiệu cảnh báo: Cờ lừa đảo và mã bị che giấu
SEAL lưu ý rằng một số trang web bị ảnh hưởng có thể đột nhiên nhận được các cảnh báo lừa đảo từ trình duyệt hoặc nhà cung cấp ví mà không có lý do rõ ràng. Đây có thể là tín hiệu rằng mã làm cạn kiệt ẩn đã được chèn vào.
Các nhà điều hành trang web được khuyến cáo nên:
Quét máy chủ cho CVE-2025-55182
Kiểm tra xem mã front-end có đang tải tài sản từ các miền không rõ nguồn gốc hay không
Tìm kiếm JavaScript bị che giấu trong các tập lệnh
Xác minh rằng các yêu cầu chữ ký ví hiển thị địa chỉ người nhận đúng
“Nếu dự án của bạn bị chặn, đó có thể là lý do,” SEAL nói, khuyến khích các nhà phát triển xem lại mã của họ trước khi kháng cáo các cảnh báo lừa đảo.
React phát hành bản sửa lỗi, khuyến khích nâng cấp ngay lập tức
Nhóm React đã phát hành một bản vá và rất khuyến nghị các nhà phát triển nâng cấp ngay lập tức nếu họ đang sử dụng bất kỳ gói nào sau đây:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React làm rõ rằng các ứng dụng không sử dụng Các Thành phần Máy chủ React hoặc mã React phía máy chủ không bị ảnh hưởng bởi lỗ hổng này, theo Cointelegraph.