网络安全专家警告,越来越多的加密钱包盗取者正在通过一种新披露的流行JavaScript库React中的漏洞悄悄注入到合法网站中。
根据非营利组织安全联盟(SEAL)的说法,攻击者正在积极利用React中的一个关键漏洞植入恶意代码,这可能会耗尽用户的加密钱包——通常网站所有者并未意识到问题的存在。
React漏洞使远程代码执行成为可能
该问题被追踪为CVE-2025-55182,React团队于12月3日披露,之前由白帽研究员拉赫兰·戴维森(Lachlan Davidson)识别。该漏洞允许未经身份验证的远程代码执行,这意味着攻击者可以在受影响的网站上注入并运行任意代码。
React是世界上使用最广泛的前端框架之一,驱动着数百万个网络应用程序——包括许多加密平台、DeFi应用和NFT网站。
SEAL表示,恶意行为者现在利用这一缺陷将耗尽钱包的脚本注入到本来合法的加密网站中。
“我们观察到通过利用最近的React CVE,上传到合法加密网站的耗尽工具数量大幅增加,”SEAL团队表示。
“所有网站现在都应审查前端代码以查找任何可疑的资源。”
不仅仅是Web3:所有网站都处于风险中
虽然加密平台因其财务收益而成为主要目标,但SEAL强调这并不限于Web3项目。
任何运行脆弱的React服务器组件的网站都可能受到攻击,暴露用户于恶意弹出窗口或签名请求中,这些请求旨在欺骗他们批准耗尽钱包的交易。
用户在签署任何许可或钱包批准时,即使在他们信任的网站上也被敦促要极为谨慎。
警告标志:钓鱼标志和模糊代码
SEAL指出,一些受影响的网站可能会突然收到浏览器或钱包提供商的钓鱼警告,而没有明显的原因。这可能是隐藏的耗尽代码已被注入的信号。
建议网站运营商:
扫描服务器以查找CVE-2025-55182
检查前端代码是否从未知域加载资源
在脚本中查找模糊的JavaScript
验证钱包签名请求是否显示正确的接收地址
“如果你的项目被阻止,那可能就是原因,”SEAL说,敦促开发者在申诉钓鱼警告之前审查他们的代码。
React发布修复,敦促立即升级
React团队已发布补丁,并强烈建议开发者立即升级,如果他们使用以下任何包:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React澄清,根据Cointelegraph,未使用React服务器组件或服务器端React代码的应用程序不受此漏洞影响。