網絡安全專家警告,越來越多的加密錢包盜取者正在通過一種新披露的流行JavaScript庫React中的漏洞悄悄注入到合法網站中。
根據非營利組織安全聯盟(SEAL)的說法,攻擊者正在積極利用React中的一個關鍵漏洞植入惡意代碼,這可能會耗盡用戶的加密錢包——通常網站所有者並未意識到問題的存在。
React漏洞使遠程代碼執行成爲可能
該問題被追蹤爲CVE-2025-55182,React團隊於12月3日披露,之前由白帽研究員拉赫蘭·戴維森(Lachlan Davidson)識別。該漏洞允許未經身份驗證的遠程代碼執行,這意味着攻擊者可以在受影響的網站上注入並運行任意代碼。
React是世界上最廣泛使用的前端框架之一,支持數百萬個Web應用程序,包括許多加密平台、DeFi應用程序和NFT網站。
SEAL表示,惡意行為者現在利用這一漏洞將耗盡錢包的腳本注入到其他合法的加密網站中。
“我們觀察到通過利用最近的React CVE,上傳到合法加密網站的排水器數量急劇上升,”SEAL團隊表示。
“所有網站現在都應該檢查前端代碼是否有任何可疑資產。”
不僅是Web3:所有網站都面臨風險
儘管加密平台因其財務利益而成為主要目標,但SEAL強調這不僅限於Web3項目。
任何運行易受攻擊的React服務器組件的網站都可能受到攻擊,暴露用戶於惡意彈出窗口或簽名請求,這些請求旨在欺騙他們批准耗盡其錢包的交易。
用戶在簽署任何許可或錢包批准時,即使在他們信任的網站上,也被強烈建議要非常小心。
警告標誌:釣魚旗幟和混淆代碼
SEAL指出,一些受影響的網站可能會突然從瀏覽器或錢包提供者那裡收到釣魚警告,而沒有明確的原因。這可能是一個信號,表明隱藏的排水代碼已被注入。
建議網站運營商:
掃描伺服器以查找CVE-2025-55182
檢查前端代碼是否從未知域加載資產
尋找腳本中的混淆JavaScript
驗證錢包簽名請求是否顯示正確的接收地址
“如果您的項目被阻止,這可能是原因所在,”SEAL表示,並敦促開發者在上訴釣魚警告之前檢查他們的代碼。
React發布修復,敦促立即升級
React團隊已經發布了一個補丁,並強烈建議開發者立即升級,如果他們正在使用以下任何包:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React澄清,根據Cointelegraph,未使用React服務器組件或服務器端React代碼的應用程序不受此漏洞影響。