Falha crítica no React desencadeia onda de esvaziamento de carteiras de criptomoedas

A Security Alliance (SEAL) emitiu um alerta de que hackers estão explorando uma grave vulnerabilidade no React para assumir o controle de sites de criptomoedas. A SEAL afirmou que a vulnerabilidade está alimentando uma onda de ataques que visam drenar carteiras, colocando usuários e plataformas em risco imediato.

Os componentes React Server (RSCs) enviam o resultado renderizado para os clientes (navegadores) enquanto operam no servidor, e não no navegador. No entanto, a equipe do React descobriu uma vulnerabilidade crítica com classificação máxima de gravidade 10 em 10 nesses pacotes.

Servidores React sem patches de segurança apresentam vulnerabilidades a ataques de execução remota de código.

A equipe do React emitiu um alerta informando que a vulnerabilidade, conhecida como React2Shell e listada como CVE-2025-55182, permite que invasores executem código remotamente em servidores comprometidos sem necessidade de autenticação. Os responsáveis ​​pela manutenção do React relataram a vulnerabilidade em 3 de dezembro e atribuíram a ela a pontuação de gravidade mais alta possível.

De acordo com a equipe do React, a vulnerabilidade CVE-2025-55182 afeta os pacotes react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0.

Crypto Drainers usando React CVE-2025-55182

Estamos observando um grande aumento no número de programas de drenagem (drainers) enviados para sites legítimos (de criptomoedas) por meio da exploração da recente vulnerabilidade CVE do React.

Todos os sites devem revisar o código front-end em busca de quaisquer elementos suspeitos AGORA.

— Aliança de Segurança (@_SEAL_Org) 13 de dezembro de 2025

A SEAL alertou que "todos os sites devem revisar o código front-end em busca de quaisquer recursos suspeitos AGORA". A SEAL afirmou ainda que os usuários devem ter cautela ao assinar qualquer assinatura de permissão relacionada a criptomoedas, pois todos os sites, não apenas aqueles que usam Web3 , são vulneráveis.

De acordo com a SEAL, todas as equipes de desenvolvimento web devem verificar se seus hosts estão vulneráveis ​​à vulnerabilidade CVE-2025-55182 e se seus códigos estão carregando recursos inesperadamente de hosts desconhecidos. A SEAL também instruiu que as equipes confirmem se a carteira exibe o destinatário correto na solicitação de assinatura. Além disso, as equipes devem determinar se algum dos "Scripts" carregados por seus códigos é JavaScript ofuscado.

Pouco depois da divulgação da CVE-2025-55182, a SEAL encontrou mais duas vulnerabilidades nos componentes do React Server durante os testes da correção anterior. De acordo com o blog do React, a SEAL divulgou as CVE-2025-55184 e CVE-2025-67779 (CVSS 7.5), que foramdent, como vulnerabilidades de Negação de Serviço (DoS) e de Alta Severidadeque os pesquisadores identificaramdentExposição de Código-Fonte e de Severidade Média.

A equipe do React recomendou que todos os sites sejam atualizados imediatamente devido à gravidade das vulnerabilidades recentemente reveladas.

De acordo com o aviso da JS, a vulnerabilidade de negação de serviço,dentcomo CVE-2025-55184, permite que atacantes criem requisições HTTP maliciosas e as enviem para qualquer endpoint do App Router ou Server Function. O relatório explica ainda que essas requisições criam um loop infinito que trava o processo do servidor e impede que futuras requisições HTTP sejam atendidas.

De acordo com o Sistema Comum de Pontuação de Vulnerabilidades (CVSS), a vulnerabilidade CVE-2025-55184 possui uma alta pontuação de gravidade, de 7,5 em 10.

A vulnerabilidade CVE-2025-55183, a segunda vulnerabilidade de vazamento de código-fonte, tem uma classificação de gravidade média de 5,3 em 10.

Segundo a Next.js, a cadeia de exploração seria semelhante. A Next.js explicou que um endpoint vulnerável recebe uma requisição HTTP especialmente construída pelo atacante, que retorna o código-fonte de qualquer Função do Servidor. A equipe da Next.js alertou que segredos embutidos no código e a lógica da empresa poderiam ser expostos com a divulgação do código-fonte gerado.

Ladrões de criptomoedas aprimoram táticas de evasão para roubo furtivo de criptomoedas.

O aumento no número de drainers, facilitado pela vulnerabilidade do React, coincide com o teste de novas estratégias por operadores de drainers que roubam criptomoedas e seus afiliados para evitar a detecção e explorar carteiras de criptomoedas. 

De acordo com especialistas em segurança criptográfica da Security Alliance (SEAL), afiliados de grupos de extração de dados maliciosos estão utilizando domínios de alta reputação para páginas de destino e hospedagem de payloads, registrando novamente domínios previamente válidos e implementando técnicas sofisticadas de coleta de dados. Os pesquisadores de segurança afirmaram que o objetivo é disseminar extrações de dados maliciosos, um código JavaScript injetado em sites de phishing, e dificultar o trabalho de pesquisadores de segurança.

A SEAL afirmou que as táticas de evasão variam entre os afiliados de uma determinada família de drenadores e não são aplicadas de forma consistente no nível de serviço do drenador.

Em um cenário diferente de crime envolvendo criptomoedas, DeFi Aevo (anteriormente Ribbon Finance) anunciou no domingo que US$ 2,3 milhões foram roubados de seus cofres. DeFi Anton Cheng, afirmou que uma atualização no código do Oracle, que permitia a qualquer pessoa definir preços para novos ativos, foi a principal causa da violação.