Une faille critique dans React déclenche une vague de vidages de portefeuilles crypto.

L'organisation Security Alliance (SEAL) a émis un avertissement : des pirates informatiques exploitent une grave faille de sécurité de React pour prendre le contrôle de sites web de cryptomonnaies. SEAL a déclaré que cette vulnérabilité alimente une recrudescence d'attaques visant à vider les portefeuilles numériques, exposant ainsi les utilisateurs et les plateformes à un risque immédiat.

Les composants serveur React (RSC) transmettent le résultat rendu aux clients (navigateurs) en s'exécutant sur le serveur, et non dans le navigateur. Cependant, l'équipe React a découvert une vulnérabilité critique, de gravité maximale (10/10), dans ces composants.

Les serveurs React non patchés sont vulnérables aux attaques d'exécution de code à distance.

L'équipe React a publié un avis de sécurité indiquant qu'une vulnérabilité, connue sous le nom de React2Shell et référencée CVE-2025-55182, permet à des attaquants d'exécuter du code à distance sur des serveurs compromis sans authentification. Les responsables de React ont signalé cette vulnérabilité le 3 décembre et lui ont attribué le niveau de gravité maximal.

Selon l'équipe React, la CVE-2025-55182 affecte les packages react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0.

Voleurs de cryptomonnaie utilisant React CVE-2025-55182

Nous observons une forte augmentation du nombre de logiciels de piratage téléchargés sur des sites web légitimes (de cryptomonnaie) grâce à l'exploitation de la récente vulnérabilité CVE de React.

Tous les sites web devraient examiner dès maintenant leur code front-end afin de détecter tout élément suspect.

— Alliance pour la sécurité (@_SEAL_Org) 13 décembre 2025

SEAL a insisté sur le fait que « tous les sites web doivent examiner immédiatement leur code frontal afin de détecter tout actif suspect ». SEAL a également déclaré que les utilisateurs doivent faire preuve de prudence lorsqu'ils signent une autorisation relative aux cryptomonnaies, car tous les sites web, et pas seulement ceux utilisant Web3 , sont vulnérables.

Selon SEAL, toutes les équipes de développement web doivent analyser les serveurs à la recherche de la vulnérabilité CVE-2025-55182 et vérifier si leur code charge des ressources de manière inattendue depuis des serveurs inconnus. SEAL recommande également aux équipes de s'assurer que le portefeuille affiche le destinataire correct lors de la signature de la requête. Enfin, elles doivent déterminer si des scripts chargés par leur code contiennent du JavaScript obfusqué.

Peu après la divulgation de la vulnérabilité CVE-2025-55182, SEAL a découvert deux autres failles de sécurité dans les composants serveur de React lors de tests du correctif précédent. Selon le blog de React, SEAL a divulgué les vulnérabilités CVE-2025-55184 et CVE-2025-67779 (CVSS 7.5), identifiéesdent, des attaques par déni de service (DoS) de haute gravitéque les chercheurs ontdentcomme une exposition du code source de gravité moyenne.

L'équipe React a conseillé à tous les sites web de procéder immédiatement à une mise à jour en raison de la gravité des vulnérabilités récemment révélées.

D'après l'avis de sécurité de JS, la vulnérabilité de déni de service,dentCVE-2025-55184, permet à un attaquant de créer des requêtes HTTP malveillantes et de les envoyer à n'importe quel point de terminaison d'App Router ou de Server Function. Le rapport explique également que ces requêtes créent une boucle infinie qui bloque le processus serveur et empêche le traitement des requêtes HTTP suivantes.

Selon le système de notation des vulnérabilités communes (CVSS), la vulnérabilité CVE-2025-55184 présente un score de gravité élevé de 7,5 sur 10.

CVE-2025-55183, la deuxième vulnérabilité de fuite de code source, a un niveau de gravité moyen de 5,3 sur 10.

D'après Next.js, la chaîne d'exploitation serait similaire. Next.js explique qu'un point d'accès vulnérable reçoit de l'attaquant une requête HTTP spécialement conçue, qui renvoie le code source d'une fonction serveur. L'équipe de Next.js prévient que la divulgation du code source généré pourrait exposer des secrets codés en dur et la logique de l'entreprise.

Les voleurs de cryptomonnaies perfectionnent leurs techniques d'évasion pour un vol de cryptomonnaies furtif.

L’essor des drainers, facilité par la vulnérabilité de React, coïncide avec le test de nouvelles stratégies par les opérateurs de drainers de crypto-monnaies et leurs affiliés pour échapper à la détection et exploiter les portefeuilles de crypto-monnaies. 

D'après les spécialistes en sécurité des cryptomonnaies de la Security Alliance (SEAL), les groupes affiliés à des « drainers » utilisent désormais des domaines à forte réputation pour leurs pages d'atterrissage et l'hébergement de leurs charges utiles, réenregistrent des domaines auparavant valides et mettent en œuvre des techniques d'identification sophistiquées. Les chercheurs en sécurité affirment que leur objectif est de diffuser des « drainers », un programme JavaScript malveillant injecté dans les sites web d'hameçonnage, et de contrer les efforts des chercheurs en sécurité.

SEAL a déclaré que les tactiques d'évasion varient parmi les affiliés d'une même famille de draineurs et ne sont pas appliquées de manière uniforme au niveau du service de drainage.

Dans un autre cas de fraude aux cryptomonnaies, DeFi Aevo (anciennement Ribbon Finance) a annoncé dimanche le vol de 2,3 millions de dollars dans ses coffres. DeFi créateur, a affirmé qu'une mise à jour du code Oracle, permettant à quiconque de fixer le prix de nouveaux actifs, était la principale cause de cette violation.