Una falla crítica de React desencadena una ola de vaciadores de billeteras criptográficas

La Alianza de Seguridad (SEAL) ha emitido una advertencia sobre la explotación de una grave vulnerabilidad de React por parte de hackers para controlar sitios web de criptomonedas. La SEAL declaró que esta vulnerabilidad está impulsando una oleada de ataques que drenan las billeteras y ponen en riesgo inmediato a usuarios y plataformas.

Los componentes de servidor de React (RSC) envían el resultado renderizado a los clientes (navegadores) mientras operan en el servidor, en lugar de hacerlo en el navegador. Sin embargo, el equipo de React descubrió una vulnerabilidad crítica con una gravedad máxima de 10 sobre 10 en estos paquetes.

Los servidores React sin parches corren el riesgo de sufrir ataques de ejecución remota de código

El equipo de React emitió un aviso indicando que la vulnerabilidad, conocida como React2Shell e identificada como CVE-2025-55182, permite a los atacantes ejecutar código de forma remota en servidores comprometidos sin necesidad de autenticación. Los responsables del mantenimiento de React informaron sobre la vulnerabilidad el 3 de diciembre y le asignaron la máxima calificación de gravedad.

Según el equipo de React, CVE-2025-55182 afecta a los paquetes react-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0.

Drenadores de criptomonedas que utilizan React CVE-2025-55182

Estamos observando un gran aumento en los drenadores cargados en sitios web legítimos (cripto) a través de la explotación del reciente CVE de React.

Todos los sitios web deberían revisar el código frontend para detectar cualquier activo sospechoso AHORA.

— Security Alliance (@_SEAL_Org) 13 de diciembre de 2025

SEAL instó a que “todos los sitios web revisen su código de interfaz en busca de activos sospechosos INMEDIATAMENTE”. SEAL también afirmó que los usuarios deben tener precaución al firmar cualquier autorización relacionada con criptomonedas, ya que todos los sitios web, no solo los que utilizan Web3 , son vulnerables.

Según SEAL, todos los equipos de desarrollo web deben analizar los hosts en busca de CVE-2025-55182 y comprobar si su código carga recursos inesperadamente desde hosts desconocidos. Seal también indicó que los equipos deben confirmar que la billetera muestre el destinatario correcto en la solicitud de firma. Los equipos también deben determinar si alguno de los scripts cargados por su código es JavaScript ofuscado.

Poco después de la divulgación de CVE-2025-55182, SEAL encontró dos vulnerabilidades más en React Server Components durante las pruebas del parche anterior. Según el blog de React, SEAL divulgó CVE-2025-55184 y CVE-2025-67779 (CVSS 7.5), identificadasdentdivulgó como vulnerabilidades de denegación de servicio y de gravedad altalos investigadoresdentcomo vulnerabilidad de exposición del código fuente y de gravedad media.

El equipo de React recomendó que todos los sitios web deberían actualizarse inmediatamente debido a la gravedad de las vulnerabilidades recientemente reveladas.

Según el aviso de JS, la vulnerabilidad de denegación de servicio,dentcomo CVE-2025-55184, permite a los atacantes crear solicitudes HTTP maliciosas y enviarlas a cualquier punto final de App Router o Función de Servidor. El informe explica además que estas solicitudes crean un bucle infinito que bloquea el proceso del servidor e impide que se atiendan futuras solicitudes HTTP.

Según el Sistema de puntuación de vulnerabilidades común (CVSS), CVE-2025-55184 tiene una puntuación de gravedad alta de 7,5 sobre 10.

CVE-2025-55183, la segunda vulnerabilidad de fuga de código fuente, tiene una calificación de gravedad media de 5,3 sobre 10.

Según Next.js, la cadena de ataque sería similar. Next.js explicó que un punto final vulnerable recibe una solicitud HTTP especialmente diseñada por el atacante, la cual devuelve el código fuente de cualquier función del servidor. El equipo de Next.js advirtió que la divulgación del código fuente generado podría exponer secretos codificados y la lógica de la empresa.

Los drenadores de criptomonedas perfeccionan sus tácticas de evasión para el robo sigiloso de criptomonedas

El aumento de drenadores, facilitado por la vulnerabilidad de React, coincide con la prueba de nuevas estrategias por parte de los operadores de drenadores que roban criptomonedas y sus afiliados para evadir la detección y explotar las billeteras de criptomonedas. 

Según especialistas en seguridad criptográfica de la Alianza de Seguridad (SEAL), los afiliados de los drenadores utilizan dominios de alta reputación para páginas de destino y alojamiento de carga útil, reinscriben dominios previamente válidos e implementan sofisticadas técnicas de identificación. Los investigadores de seguridad afirmaron que el objetivo es difundir drenadores de criptomonedas, un fragmento de JavaScript dañino que se inyecta en sitios web de phishing, y frustrar a los investigadores de seguridad.

SEAL dijo que las tácticas de evasión varían entre los afiliados de una familia particular de drenadores y no se aplican de manera consistente a nivel de servicio de drenadores.

En otro escenario de delito con criptomonedas, DeFi Aevo (anteriormente Ribbon Finance) anunció el domingo el robo de 2,3 millones de dólares de sus bóvedas. DeFi Anton Cheng, afirmó que la causa principal de la filtración fue un código actualizado de Oracle, que permitía a cualquiera fijar precios para nuevos activos.