Критическая уязвимость React спровоцировала волну опустошителей криптовалютных кошельков.

Альянс по безопасности (SEAL) выпустил предупреждение о том, что хакеры используют серьезную уязвимость в React для захвата сайтов криптовалютных компаний. SEAL заявил, что эта уязвимость подпитывает волну атак, направленных на опустошение кошельков и подвергающих пользователей и платформы непосредственной опасности.

Компоненты React Server Components (RSC) передают отрендеренный результат клиентам (браузерам), работая на сервере, а не в браузере. Однако команда React обнаружила в этих пакетах критическую уязвимость с максимальным уровнем серьезности 10 из 10.

Необновлённые серверы React подвержены атакам с удалённым выполнением кода.

Команда React выпустила предупреждение о том, что уязвимость, известная как React2Shell и зарегистрированная как CVE-2025-55182, позволяет злоумышленникам удаленно выполнять код на скомпрометированных серверах без аутентификации. Разработчики React сообщили об уязвимости 3 декабря и присвоили ей максимально возможный уровень серьезности.

По данным команды React, уязвимость CVE-2025-55182 затрагивает пакеты react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack в версиях 19.0, 19.1.0, 19.1.1 и 19.2.0.

Криптовалютные деинсталляторы, использующие React, CVE-2025-55182

Мы наблюдаем значительный рост числа вредоносных программ, загружаемых на легитимные (криптовалютные) веб-сайты с использованием уязвимости React CVE.

Всем веб-сайтам следует немедленно проверить фронтенд-код на наличие подозрительных элементов.

— Security Alliance (@_SEAL_Org) 13 декабря 2025 г.

SEAL настоятельно призвала «все веб-сайты немедленно проверить код интерфейса на наличие подозрительных элементов». SEAL также заявила, что пользователям следует проявлять осторожность при подписании любых разрешений, связанных с криптографией, поскольку уязвимы все веб-сайты, а не только те, которые используют Web3 .

Согласно SEAL, все команды веб-разработчиков должны проверить хосты на наличие уязвимости CVE-2025-55182 и убедиться, что их код неожиданно не загружает ресурсы с неизвестных хостов. SEAL также рекомендовала командам убедиться, что кошелек отображает правильного получателя в запросе на подписание подписи. Команды также должны определить, не являются ли какие-либо из «скриптов», загружаемых их кодом, обфусцированным JavaScript.

Вскоре после обнаружения уязвимости CVE-2025-55182 компания SEAL обнаружила еще две уязвимости в компонентах React Server при тестировании предыдущего патча. Согласно блогу React, SEAL выявила CVE-2025-55184 и CVE-2025-67779 (CVSS 7.5), которые былиdentуязвимости типа «отказ в обслуживании» и высокой степени серьезности. Затем SEAL выявила CVE-2025-55183 (CVSS 5.3), которую исследователи идентифицировалиdentуязвимость, связанную с раскрытием исходного кода и средней степени серьезности.

Команда разработчиков React рекомендовала всем веб-сайтам немедленно обновиться в связи с серьезностью недавно выявленных уязвимостей.

Согласно уведомлению JavaScript, уязвимость типа «отказ в обслуживании»,dentкак CVE-2025-55184, позволяет злоумышленникам создавать вредоносные HTTP-запросы и отправлять их на любую конечную точку App Router или Server Function. В отчете также поясняется, что эти запросы создают бесконечный цикл, который зависает процесс сервера и препятствует обработке будущих HTTP-запросов.

Согласно системе оценки уязвимостей Common Vulnerability Scoring System (CVSS), уязвимость CVE-2025-55184 имеет высокий уровень серьезности — 7,5 из 10.

CVE-2025-55183, вторая уязвимость, приводящая к утечке исходного кода, имеет средний уровень серьезности 5,3 из 10.

По данным Next.js, цепочка эксплойтов будет аналогичной. Next.js объяснили , что уязвимая конечная точка получает от злоумышленника специально сформированный HTTP-запрос, который возвращает исходный код любой серверной функции. Команда Next.js предупредила, что раскрытие сгенерированного исходного кода может привести к утечке жестко закодированных секретов и логики компании.

Криптовалютные мошенники оттачивают тактику уклонения для скрытого хищения криптовалюты.

Рост числа мошеннических схем, усугубленный уязвимостью React, совпадает с тестированием новых стратегий операторами таких схем и их сообщниками, направленных на обход обнаружения и эксплуатацию криптокошельков. 

По данным специалистов по криптобезопасности из Security Alliance (SEAL), мошенники, занимающиеся распространением вредоносного ПО типа crypto-drainers, теперь используют домены с высокой репутацией для размещения целевых страниц и вредоносных программ, перерегистрируют ранее действительные домены и внедряют сложные методы идентификации по отпечаткам пальцев. Исследователи безопасности утверждают , что цель состоит в распространении crypto-drainers — вредоносного кода JavaScript, внедряемого в фишинговые сайты, — и в том, чтобы помешать исследователям в области безопасности.

Компания SEAL заявила, что тактика уклонения от ответственности различается у филиалов конкретной группы компаний, занимающихся водоотведением, и не всегда применяется на уровне всей сети таких компаний.

В другом случае преступления, связанного с криптовалютой, DeFi протокол объявил в воскресенье о хищении 2,3 миллионов долларов из своих хранилищ. DeFi Антон Ченг заявил, что основной причиной взлома стал обновленный код Oracle, который позволял любому устанавливать цены на новые активы.