Kritischer Sicherheitsfehler in React löst Welle von Krypto-Wallet-Leaks aus

Die Security Alliance (SEAL) warnt davor, dass Hacker eine schwerwiegende Sicherheitslücke in React ausnutzen, um Kryptowährungs-Websites zu übernehmen. Laut SEAL führt diese Schwachstelle zu einer Welle von Angriffen, bei denen Kryptowährungs-Wallets leergeräumt werden und die Nutzer sowie die Plattformen unmittelbar gefährden.

React Server Components (RSCs) übermitteln das gerenderte Ergebnis serverseitig an die Clients (Browser), anstatt es im Browser auszuführen. Das React-Team hat jedoch eine kritische Sicherheitslücke mit einer maximalen Schweregradbewertung von 10 von 10 in diesen Paketen entdeckt.

Ungepatchte React-Server bergen das Risiko von Remote-Code-Ausführungsangriffen

Das React-Team veröffentlichte eine Warnung, dass die als React2Shell bekannte und unter CVE-2025-55182 geführte Sicherheitslücke Angreifern die Möglichkeit gibt, auf kompromittierten Servern ohne Authentifizierung Code auszuführen . Die React-Entwickler meldeten die Sicherheitslücke am 3. Dezember und wiesen ihr die höchstmögliche Schweregradstufe zu.

Laut dem React-Team betrifft CVE-2025-55182 die Pakete react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0.

Crypto Drainers mit React CVE-2025-55182

Wir beobachten einen starken Anstieg von Drainern, die durch Ausnutzung der kürzlich entdeckten React-CVE auf legitime (Krypto-)Websites hochgeladen werden.

Alle Webseiten sollten JETZT ihren Frontend-Code auf verdächtige Elemente überprüfen.

— Security Alliance (@_SEAL_Org) 13. Dezember 2025

SEAL forderte dringend: „Alle Webseiten sollten JETZT ihren Frontend-Code auf verdächtige Assets überprüfen.“ SEAL wies außerdem darauf hin, dass Nutzer beim Signieren von kryptografischen Berechtigungssignaturen Vorsicht walten lassen sollten, da alle Webseiten, nicht nur solche, die Web3 -Protokolle verwenden, anfällig sind.

Laut SEAL sollten alle Webentwicklungsteams Hosts auf CVE-2025-55182 scannen und prüfen, ob ihr Code unerwartet Assets von unbekannten Hosts lädt. SEAL wies die Teams außerdem an, zu überprüfen, ob die Wallet den korrekten Empfänger in der Signaturanforderung anzeigt. Die Teams sollten zudem feststellen, ob eines der von ihrem Code geladenen „Skripte“ verschleiertes JavaScript enthält.

Kurz nach der Veröffentlichung von CVE-2025-55182 entdeckte SEAL beim Testen des vorherigen Patches zwei weitere Schwachstellen in React Server Components. Laut dem React-Blog veröffentlichte SEAL CVE-2025-55184 und CVE-2025-67779 (CVSS 7.5), diedentwerden als Denial-of-Service-Schwachstellen mit hohem Schweregrad. Anschließend veröffentlichte SEAL CVE-2025-55183 (CVSS 5.3), die von den Forscherndentals Schwachstelle mit mittlerem Schweregrad und Offenlegung des Quellcodes identifiziert wurde

Das React-Team riet allen Webseitenbetreibern aufgrund der Schwere der kürzlich aufgedeckten Sicherheitslücken zu einem sofortigen Upgrade.

Laut einer Mitteilung von JavaScriptdentdie Denial-of-Service-Schwachstelle CVE-2025-55184 Angreifern, schädliche HTTP-Anfragen zu erstellen und an beliebige App-Router- oder Serverfunktionsendpunkte zu senden. Der Bericht erläutert weiter, dass diese Anfragen eine Endlosschleife erzeugen, die den Serverprozess blockiert und die Bearbeitung zukünftiger HTTP-Anfragen verhindert.

Gemäß dem Common Vulnerability Scoring System (CVSS) weist CVE-2025-55184 einen hohen Schweregrad von 7,5 von 10 Punkten auf.

CVE-2025-55183, die zweite Schwachstelle, die zu einem Quellcodeleck führt, hat eine mittlere Schweregradbewertung von 5,3 von 10.

Laut Next.js wäre die Angriffskette ähnlich. Next.js erklärte , dass ein anfälliger Endpunkt eine speziell präparierte HTTP-Anfrage vom Angreifer empfängt, die den Quellcode einer beliebigen Serverfunktion zurückgibt. Das Next.js-Team warnte davor, dass durch die Offenlegung des generierten Quellcodes fest codierte Geheimnisse und die Unternehmenslogik offengelegt werden könnten.

Kryptodiebstähle verfeinern ihre Ausweichtaktiken für den heimlichen Diebstahl von Kryptowährungen.

Der Anstieg von Drainern, der durch die React-Sicherheitslücke begünstigt wird, fällt zeitlich mit dem Testen neuer Strategien durch Betreiber von Krypto-Diebstählen und deren Verbündete zusammen, um der Entdeckung zu entgehen und Krypto-Wallets. 

Laut Kryptosicherheitsexperten der Security Alliance (SEAL) nutzen Krypto-Drainer-Betrüger nun Domains mit hohem Ansehen für Landingpages und das Hosting ihrer Schadsoftware, registrieren zuvor gültige Domains erneut und setzen ausgefeilte Fingerprinting-Techniken ein. Die Sicherheitsforscher gaben an , dass das Ziel darin bestehe, Krypto-Drainer – schädlichen JavaScript-Code, der in Phishing-Websites eingeschleust wird – zu verbreiten und die Arbeit von Sicherheitsforschern zu behindern.

SEAL erklärte, dass die Umgehungstaktiken zwischen den einzelnen Tochtergesellschaften einer bestimmten Entwässerungsfirma variieren und auf der Ebene des Entwässerungsunternehmens nicht einheitlich durchgesetzt werden.

In einem anderen Fall von Kryptowährungskriminalität DeFi -Protokoll Aevo (ehemals Ribbon Finance) bekannt , dass 2,3 Millionen US-Dollar aus seinen Tresoren abgezweigt wurden. DeFi -Gründer Anton Cheng behauptete, ein aktualisierter Oracle-Code, der es jedem ermöglichte, Preise für neue Assets festzulegen, sei die Hauptursache für den Datenverlust gewesen.