Una falla critica di React innesca un'ondata di svuotamenti di portafogli crittografici

La Security Alliance (SEAL) ha lanciato un allarme: gli hacker stanno sfruttando una grave vulnerabilità di React per prendere il controllo dei siti web di criptovalute. La SEAL ha affermato che la vulnerabilità sta alimentando un'ondata di attacchi che prosciugano i portafogli, mettendo a rischio immediato utenti e piattaforme.

I componenti React Server (RSC) inviano il risultato renderizzato ai client (browser) mentre operano sul server, anziché nel browser. Tuttavia, il team di React ha scoperto una vulnerabilità critica con un livello di gravità massimo di 10 su 10 in questi pacchetti.

I server React non patchati rischiano attacchi di esecuzione di codice remoto

Il team di React ha emesso un avviso in cui si afferma che la vulnerabilità, nota come React2Shell e identificata come CVE-2025-55182, consente agli aggressori di eseguire codice da remoto su server compromessi senza richiedere autenticazione. I manutentori di React hanno segnalato la vulnerabilità il 3 dicembre e le hanno assegnato il punteggio di gravità più alto possibile.

Secondo il team di React, CVE-2025-55182 interessa i pacchetti react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack nelle versioni 19.0, 19.1.0, 19.1.1 e 19.2.0.

Crypto Drainer che utilizzano React CVE-2025-55182

Stiamo osservando un forte aumento dei drainer caricati su siti web legittimi (cripto) attraverso lo sfruttamento del recente React CVE.

Tutti i siti web dovrebbero esaminare SUBITO il codice front-end per individuare eventuali risorse sospette.

— Security Alliance (@_SEAL_Org) 13 dicembre 2025

SEAL ha esortato tutti i siti web a "rivedere immediatamente il codice front-end alla ricerca di risorse sospette". SEAL ha inoltre affermato che gli utenti dovrebbero prestare attenzione quando firmano qualsiasi firma di autorizzazione relativa alla crittografia, poiché tutti i siti web, non solo quelli che utilizzano Web3 , sono vulnerabili.

Secondo SEAL, tutti i team di sviluppo web dovrebbero analizzare gli host alla ricerca di CVE-2025-55182 e verificare se il loro codice carica inaspettatamente risorse da host sconosciuti. Seal ha inoltre indicato ai team di verificare che il wallet visualizzi il destinatario corretto nella richiesta di firma. I team dovrebbero anche determinare se uno degli "Script" caricati dal loro codice sia JavaScript offuscato.

Poco dopo la divulgazione di CVE-2025-55182, SEAL ha trovato altre due vulnerabilità nei componenti di React Server durante il test della patch precedente. Secondo il blog di React, SEAL ha divulgato CVE-2025-55184 e CVE-2025-67779 (CVSS 7.5), che sonodent, come vulnerabilità Denial of Service e di gravità elevatache i ricercatori hannodentcome esposizione del codice sorgente e di gravità media.

Il team di React ha consigliato a tutti i siti web di aggiornarsi immediatamente, data la gravità delle vulnerabilità recentemente scoperte.

Secondo l'avviso di JS, la vulnerabilità di tipo "denial-of-service",dentcome CVE-2025-55184, consente agli aggressori di creare richieste HTTP dannose e inviarle a qualsiasi endpoint di App Router o Server Function. Il rapporto spiega inoltre che queste richieste creano un ciclo infinito che blocca il processo server e impedisce l'elaborazione di future richieste HTTP.

Secondo il Common Vulnerability Scoring System (CVSS), CVE-2025-55184 ha un punteggio di gravità elevato, pari a 7,5 su 10.

CVE-2025-55183, la seconda vulnerabilità di fuga del codice sorgente, ha un livello di gravità medio di 5,3 su 10.

Secondo Next.js, la catena di exploit sarebbe simile. Next.js ha spiegato che un endpoint vulnerabile riceve una richiesta HTTP appositamente costruita dall'attaccante, che restituisce il codice sorgente di qualsiasi funzione del server. Il team di Next.js ha avvertito che segreti hardcoded e la logica aziendale potrebbero essere esposti divulgando il codice sorgente generato.

I crypto-drenatori perfezionano le tattiche di evasione per furti furtivi di criptovalute

L'aumento dei drainer, facilitato dalla vulnerabilità di React, coincide con la sperimentazione di nuove strategie da parte degli operatori di drainer che rubano criptovalute e dei loro affiliati per eludere il rilevamento e sfruttare i portafogli crittografici. 

Secondo gli specialisti di sicurezza crittografica della Security Alliance (SEAL), gli affiliati dei crypto-drainer stanno ora utilizzando domini di alta reputazione per landing page e hosting di payload, registrando nuovamente domini precedentemente validi e implementando sofisticate tecniche di fingerprinting. I ricercatori di sicurezza hanno affermato che l'obiettivo è diffondere i crypto-drainer, un codice JavaScript dannoso che viene iniettato nei siti web di phishing, e ostacolare i ricercatori di sicurezza.

Il SEAL ha affermato che le tattiche di evasione variano tra gli affiliati di una particolare famiglia di drainer e non vengono applicate in modo coerente a livello di servizio di drainer.

In un diverso scenario di reato legato alle criptovalute, DeFi Aevo (in precedenza Ribbon Finance) ha annunciato domenica che 2,3 milioni di dollari erano stati sottratti dai suoi caveau. DeFi Anton Cheng, ha affermato che la causa principale della violazione era un codice Oracle aggiornato, che consentiva a chiunque di stabilire i prezzi per i nuovi asset.