Помилка React викликає атаки, що висмоктують гроші з гаманців, оскільки хакери атакують криптовалютні веб-сайти

Критична помилка RCE у React Server Components активно використовується для захоплення серверів, висмоктування крипто-гаманців, розміщення майнерів Monero та поглиблення хвилі крадіжок $3B 2025, попри термінові заклики до виправлення.

Коротко

• Security Alliance та Google TIG повідомляють, що зловмисники експлуатують CVE-2025-55182 у React Server Components для запуску довільного коду, крадіжки підписів дозволів та висмоктування крипто-гаманців.
• Vercel, Meta та команди фреймворків швидко випустили патчі та правила WAF, але дослідники виявили ще дві нові помилки RSC і попереджають про ризики ланцюга поставок JavaScript, зокрема хак npm Josh Goldberg.
• Global Ledger повідомляє про понад $3B крадених у 119 зломах у першому півріччі 2025 року, з відмиванням коштів за кілька хвилин через мости та приватні монети, такі як Monero, і лише 4.2% відновлено.

Критична вразливість безпеки у React Server Components викликала термінові попередження у криптоіндустрії, оскільки зловмисники використовують цю помилку для висмоктування гаманців та розгортання шкідливого ПЗ, повідомляє Security Alliance.

Security Alliance повідомляє, що крипто-крадії активно використовують CVE-2025-55182, закликаючи всі сайти негайно перевірити свій фронтенд-код на підозрілі активи. Вразливість стосується не лише протоколів Web3, а й усіх сайтів, що використовують React, з ціллю цілитися у підпис дозволів на різних платформах.

Користувачі ризикують при підписанні транзакцій, оскільки зловмисний код перехоплює комунікації гаманця та перенаправляє кошти на адреси, контрольовані зловмисниками, повідомляють дослідники безпеки.

Офіційна команда React оприлюднила CVE-2025-55182 3 грудня, присвоївши йому CVSS 10.0 після звіту Lachlan Davidson від 29 листопада через Meta Bug Bounty. Вразливість виконання віддаленого коду без автентифікації використовує спосіб декодування React payloads, що надсилаються до кінцевих точок Server Function, дозволяючи зловмисникам створювати шкідливі HTTP-запити для виконання довільного коду на серверах, повідомляє розкриття.

Нові версії React

Ця помилка впливає на версії React 19.0, 19.1.0, 19.1.1 та 19.2.0 у пакетах react-server-dom-webpack, react-server-dom-parcel та react-server-dom-turbopack. Основні фреймворки, включно з Next.js, React Router, Waku та Expo, потребують негайного оновлення, йдеться у рекомендації.

Патчі з’явилися у версіях 19.0.1, 19.1.2 та 19.2.1, а користувачам Next.js потрібно оновити кілька гілок релізів з 14.2.35 до 16.0.10, згідно з нотатками до релізу.

Дослідники виявили ще дві нові уразливості у React Server Components під час спроби використати патчі, повідомляють у звітах. Це нові проблеми, окремі від критичного CVE. Патч для React2Shell залишається ефективним проти експлойту Remote Code Execution, заявили дослідники.

Vercel запровадила правила WAF для автоматичного захисту проектів на своїй платформі, хоча компанія наголошує, що захист WAF сам по собі недостатній. Необхідне негайне оновлення до виправленої версії, заявила Vercel у своєму бюлетені безпеки від 3 грудня, додавши, що вразливість стосується додатків, які обробляють недовірливий ввід у спосіб, що дозволяє віддалене виконання коду.

Google Threat Intelligence Group зафіксувала широкомасштабні атаки, що почалися 3 грудня, від злочинних груп від випадкових хакерів до урядових операцій. Китайські хакерські групи встановлювали різні типи шкідливого ПЗ на зламаних системах, переважно цілитися у хмарні сервери Amazon Web Services та Alibaba Cloud, повідомляє звіт.

Ці зловмисники застосовували техніки для збереження довгострокового доступу до систем жертв, повідомляє Google Threat Intelligence Group. Деякі групи встановлювали програмне забезпечення для створення тунелів віддаленого доступу, інші — розгортали програми, що постійно завантажують додаткові шкідливі інструменти, маскуючись під легітимні файли. Шкідливе ПЗ ховається у системних папках і автоматично перезапускається, щоб уникнути виявлення, повідомляють дослідники.

Фінансово мотивовані злочинці приєдналися до хвилі атак з 5 грудня, встановлюючи програмне забезпечення для майнінгу криптовалют, що використовує обчислювальну потужність жертв для генерації Monero, повідомляють дослідники безпеки. Ці майнери працюють цілодобово у фоновому режимі, підвищуючи витрати на електроенергію та отримуючи прибутки для зловмисників. У підпільних форумах з хакерською тематикою швидко з’явилися обговорення інструментів атак та досвіду експлуатації, спостерігали дослідники.

Вразливість React слідує за атакою 8 вересня, коли хакери зламали npm-акаунт Josh Goldberg і опублікували шкідливі оновлення до 18 широко використовуваних пакетів, зокрема chalk, debug та strip-ansi. Ці утиліти разом мають понад 2.6 мільярда завантажень щотижня, і дослідники виявили шкідливе ПЗ crypto-clipper, що перехоплює функції браузера для заміни легітимних адрес гаманців на контрольовані зловмисниками.

CTO Ledger Чарльз Гіємет описав цю інцидент як “масштабну атаку ланцюга поставок”, радячи користувачам без апаратних гаманців уникати транзакцій у мережі. Зловмисники отримали доступ через фішингові кампанії, що імітували підтримку npm, стверджуючи, що облікові записи будуть заблоковані, якщо не оновити двофакторні дані до 10 вересня, повідомив Гіємет.

Хакери крадуть криптовалюту та рухають її швидше, з одним процесом відмивання, що, за даними галузі, займає лише 2 хвилини 57 секунд.

Дані Global Ledger показують, що хакери викрали понад $3 мільярдів у 119 інцидентах у першій половині 2025 року, причому 70% крадіжок відбувалися до того, як вони стали публічними. Лише 4.2% вкрадених активів було відновлено, оскільки відмивання тепер триває секунди, а не години, повідомляє звіт.

Організації, що використовують React або Next.js, радять негайно оновити до версій 19.0.1, 19.1.2 або 19.2.1, впровадити правила WAF, провести аудит усіх залежностей, контролювати мережевий трафік на предмет команд wget або cURL, ініційованих процесами веб-сервера, та шукати несанкціоновані приховані каталоги або шкідливі ін’єкції у конфігурацію оболонки, йдеться у рекомендаціях з безпеки.