React 的严重漏洞引发了一波加密货币钱包盗刷潮

安全联盟 (SEAL) 发布警告称，黑客正在利用 React 的一个严重漏洞入侵加密货币网站。SEAL 表示，该漏洞正在引发​​一系列窃取用户钱包资金的攻击，使用户和平台面临直接风险。

React 服务器组件 (RSC) 在服务器端而非浏览器端运行，并将渲染结果传递给客户端（浏览器）。然而，React 团队发现这些软件包存在一个严重漏洞，其严重程度评级为 10 分（满分 10 分）。

未打补丁的 React 服务器存在远程代码执行攻击风险

React 团队 发布 安全公告称，名为 React2Shell（编号 CVE-2025-55182）的漏洞允许攻击者 在无需身份验证的情况下远程执行受感染服务器上的代码。React 的维护人员于 12 月 3 日报告了该漏洞，并将其评为最高级别的严重性等级。

根据 React 团队的说法，CVE-2025-55182 会影响 19.0、19.1.0、19.1.1 和 19.2.0 版本中的 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 包。

利用 React 的加密窃取程序 CVE-2025-55182

我们观察到，利用最近 React CVE 漏洞，上传到合法（加密）网站的恶意程序数量大幅增加。

所有网站现在都应该检查前端代码，查找任何可疑资产。

— 安全联盟 (@_SEAL_Org) 2025年12月13日

SEAL 敦促所有网站“立即审查前端代码，查找任何可疑资产”。SEAL 还指出，用户在签署任何与加密相关的权限签名时都应格外谨慎，因为所有网站（而不仅仅是使用 Web3 协议的网站）都存在安全漏洞。

根据SEAL的建议，所有Web开发团队都应扫描主机是否存在CVE-2025-55182漏洞，并检查其代码是否意外地从未知主机加载资源。SEAL还指示团队确认钱包在签名请求中显示的收件人是否正确。此外，团队还应确定其代码加载的“脚本”中是否存在混淆的JavaScript代码。

在 CVE-2025-55182 漏洞披露后不久，SEAL 在测试之前的补丁时，又在 React 服务器组件中发现了两个漏洞。根据 React 博客，SEAL 披露了 CVE-2025-55184 和 CVE-2025-67779（CVSS 7.5）， 这两个漏洞被dent属于 为拒绝服务 (DoS) 漏洞，且属于高危漏洞。随后，SEAL 又披露了 CVE-2025-55183（CVSS 5.3），研究人员将其dent中等危漏洞。

由于最近披露的漏洞非常严重，React 团队建议所有网站立即升级。

根据JS发布的安全公告，该拒绝服务漏洞（dent为CVE-2025-55184）允许攻击者创建恶意HTTP请求，并将其发送到任何应用路由器或服务器函数端点。报告进一步解释说，这些请求会创建一个无限循环，导致服务器进程挂起，并阻止后续HTTP请求的响应。

根据通用漏洞评分系统 (CVSS)，CVE-2025-55184 的严重性评分为 7.5 分（满分 10 分）。

第二个源代码泄露漏洞 CVE-2025-55183 的严重程度评级为 5.3（满分 10 分），属于中等严重程度。

据 Next.js 称，攻击链类似。Next.js 解释 说，易受攻击的端点会收到攻击者精心构造的 HTTP 请求，该请求会返回任何服务器函数的源代码。Next.js 团队警告说，泄露生成的源代码可能会暴露公司内部的硬编码密钥和逻辑。

加密货币窃贼不断改进规避策略，以进行隐蔽的加密货币盗窃。

React 漏洞助长了窃取加密货币的黑客的兴起，与此同时，窃取加密货币的黑客及其关联方也在测试新的策略，以逃避检测并利用 加密钱包。 

据安全联盟 (SEAL) 的加密安全专家称，窃取加密数据的恶意组织目前正利用高信誉域名搭建着陆页和托管恶意代码，重新注册之前有效的域名，并实施复杂的指纹识别技术。安全研究人员 声称 ，其目的是传播加密窃取程序（一种注入钓鱼网站的有害 JavaScript 代码），从而阻挠安全研究人员的工作。

SEAL表示，特定吸血家族的各个成员所采取的规避策略各不相同，而且在吸血服务层面也没有得到一致的执行。

在另一起加密货币犯罪事件中， DeFi 协议Aevo（前身为Ribbon Finance） 宣布 ，其金库中230万美元被盗。DeFi DeFi 漏洞的主要原因是更新后的预言机代码，该代码允许任何人设定新资产的价格。