Критическая уязвимость в React Server Components вызвала срочные предупреждения в криптоиндустрии: злоумышленники активно используют её для опустошения кошельков и развёртывания вредоносного ПО.
Security Alliance сообщила, что крипто-дроинеры активно используют CVE-2025-55182, призывая все веб-сайты немедленно проверить свой фронтенд-код на наличие подозрительных активов.
Уязвимость затрагивает не только Web3-протоколы, но и все веб-сайты, использующие React, при этом злоумышленники нацелены на подписи разрешений на различных платформах.
Пользователи сталкиваются с немедленным риском при подписании любой транзакции, поскольку вредоносный код перехватывает коммуникации кошелька и перенаправляет средства на адреса, контролируемые злоумышленниками.
Критическая уязвимость позволяет выполнять удалённый код
Официальная команда React раскрыла CVE-2025-55182 3 декабря, присвоив ей рейтинг CVSS 10.0 после отчёта Лахлана Дэвидсона от 29 ноября через Meta Bug Bounty.
Уязвимость удалённого выполнения кода без аутентификации эксплуатирует способ декодирования React полезных нагрузок, отправляемых в конечные точки Server Function, позволяя злоумышленникам создавать вредоносные HTTP-запросы, которые выполняют произвольный код на серверах.
Уязвимость затрагивает версии React 19.0, 19.1.0, 19.1.1 и 19.2.0 в пакетах react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack.
Крупные фреймворки, включая Next.js, React Router, Waku и Expo, требуют немедленного обновления. Патчи появились в версиях 19.0.1, 19.1.2 и 19.2.1, а пользователям Next.js необходимо обновить множество версий от 14.2.35 до 16.0.10.
К сожалению, исследователи снова обнаружили две крупные новые уязвимости.
Vercel развернула правила Web Application Firewall для автоматической защиты проектов на своей платформе, хотя компания подчеркнула, что одной лишь защиты WAF недостаточно.
«Требуется немедленное обновление до исправленной версии», — заявила Vercel в своём бюллетене безопасности от 3 декабря, добавив, что уязвимость затрагивает приложения, обрабатывающие непроверенный ввод таким образом, который допускает удалённое выполнение кода.
Несколько групп злоумышленников начали скоординированные атаки
Google Threat Intelligence Group задокументировала широкомасштабные атаки, начавшиеся 3 декабря, отслеживая преступные группы от оппортунистических хакеров до операций, поддерживаемых государством.
Китайские хакерские группы устанавливали различные типы вредоносного ПО на скомпрометированные системы, в основном нацеливаясь на облачные серверы Amazon Web Services и Alibaba Cloud.
Эти злоумышленники использовали сложные методы для поддержания долгосрочного доступа к системам жертв.
Некоторые группы устанавливали программное обеспечение, создающее скрытые туннели для удалённого управления, в то время как другие развёртывали программы, которые непрерывно загружали дополнительные вредоносные инструменты, замаскированные под легитимные файлы. Вредоносное ПО скрывается в системных папках и автоматически перезапускается, чтобы избежать обнаружения.
Несколько групп маскировали вредоносное программное обеспечение под обычные программы или использовали легитимные облачные сервисы, такие как Cloudflare Pages и GitLab, для сокрытия своей коммуникации.
Финансово мотивированные преступники присоединились к волне атак 5 декабря, установив программное обеспечение для майнинга криптовалют, которое тайно использует вычислительную мощность жертв для генерации Monero.
Эти майнеры постоянно работают в фоновом режиме, увеличивая расходы на электроэнергию и принося прибыль злоумышленникам. Подпольные хакерские форумы быстро наполнились обсуждениями, где делились инструментами для атак и опытом эксплуатации.
Продолжается шаблон исторической атаки на цепочку поставок
Уязвимость React следует за атакой 8 сентября, когда хакеры скомпрометировали учётную запись Josh Goldberg в npm и опубликовали вредоносные обновления для 18 широко используемых пакетов, включая chalk, debug и strip-ansi.
Эти утилиты совокупно насчитывают более 2,6 миллиарда еженедельных загрузок, и исследователи обнаружили вредоносное ПО типа «крипто-клиппер», которое перехватывает функции браузера для подмены легитимных адресов кошельков адресами, контролируемыми злоумышленниками.
Технический директор Ledger Чарльз Гийемет назвал этот инцидент «крупномасштабной атакой на цепочку поставок», посоветовав пользователям без аппаратных кошельков избегать транзакций в сети.
Злоумышленники получили доступ через фишинговые кампании, выдавая себя за службу поддержки npm и утверждая, что учётные записи будут заблокированы, если учётные данные для двухфакторной аутентификации не будут обновлены к 10 сентября.
Данные Global Ledger показывают, что хакеры украли более 3 миллиардов долларов в 119 инцидентах за первое полугодие 2025 года, при этом 70% взломов включали перемещение средств до того, как они стали публичными.
Было восстановлено лишь 4,2% украденных активов, поскольку отмывание денег теперь занимает секунды, а не часы.
На данный момент организациям, использующим React или Next.js, рекомендуется немедленно обновиться до версий 19.0.1, 19.1.2 или 19.2.1, развернуть правила WAF, провести аудит всех зависимостей, отслеживать сетевой трафик на предмет команд wget или cURL, инициированных процессами веб-сервера, а также искать неавторизованные скрытые каталоги или инъекции вредоносных конфигураций оболочки.
Автор – Anas hassan
