Una falla crítica en React Server Components está siendo utilizada por atacantes para inyectar código malicioso en sitios web en vivo, y ese código está drenando criptomonedas de las billeteras conectadas.
Los informes señalan que la vulnerabilidad, identificada como CVE-2025-55182, fue publicada por el equipo de React el 3 de diciembre y tiene una calificación de severidad máxima.
La firma de ciberseguridad Security Alliance (SEAL) ha confirmado que múltiples sitios web de criptomonedas están siendo atacados activamente, y urgen a los operadores a revisar todos los React Server Components inmediatamente para prevenir ataques de drenaje de billeteras.
Los equipos de seguridad dicen que el error permite a un atacante no autenticado ejecutar código en servidores afectados, lo que se ha convertido en campañas de drenaje de billeteras en varios sitios.
Imagen: Shutterstock
Un Riesgo Amplio Para Sitios Que Usan Componentes de Servidor
SEAL dijo que la falla afecta a los paquetes de React Server Components en las versiones 19.0 a 19.2.0, y se emitieron versiones parcheadas como 19.0.1, 19.1.2 y 19.2.1 después de la divulgación.
Drenadores de Cripto usando React CVE-2025-55182
Estamos observando un gran aumento en drenadores cargados en sitios web legítimos (de cripto) mediante la explotación del reciente CVE de React.
Todos los sitios web deberían revisar el código front-end en busca de activos sospechosos AHORA.
— Security Alliance (@_SEAL_Org) 13 de diciembre de 2025
La vulnerabilidad funciona explotando la deserialización insegura en el protocolo Flight, permitiendo que una sola solicitud HTTP manipulada ejecute código arbitrario con los privilegios del servidor web. Los equipos de seguridad han advertido que muchos sitios que usan configuraciones predeterminadas están en riesgo hasta que apliquen las actualizaciones.
Atacantes Inyectan Scripts de Drenaje de Billeteras en Páginas Comprometidas
Según publicaciones de la industria, los actores de amenazas están utilizando el exploit para plantar scripts que solicitan a los usuarios conectar billeteras Web3 y luego secuestran o redirigen transacciones.
En algunos casos, el código inyectado altera la interfaz de usuario o intercambia direcciones, por lo que un usuario cree que está enviando fondos a una cuenta mientras que la transacción en realidad paga a un atacante. Este método puede afectar a usuarios que confían en sitios de criptomonedas familiares y conectan billeteras sin verificar cada aprobación.
Escáneres y Pruebas de Concepto Inundan Foros Subterráneos
Los investigadores de seguridad informan de una avalancha de herramientas de escaneo, código falso de prueba de concepto y kits de explotación compartidos en foros subterráneos poco después de que se divulgó la vulnerabilidad.
Los equipos de inteligencia de nube y amenazas han observado a múltiples grupos escaneando en busca de servidores vulnerables y probando cargas útiles, lo que ha acelerado la explotación activa.
Algunos defensores dicen que la velocidad y el volumen del escaneo han dificultado detener todos los intentos antes de que se apliquen los parches.
Más de 50 Organizaciones Reportaron Intentos de Compromiso
Según informes de respondedores a incidentes, se ha observado actividad de cripto post-explotación en más de 50 organizaciones en finanzas, medios, gobierno y tecnología.
En varias investigaciones, los atacantes establecieron puntos de apoyo y luego los usaron para entregar más malware o para sembrar código front-end que apunta a usuarios de billeteras.
SEAL ha enfatizado que las organizaciones que no parcheen o monitoreen sus servidores podrían experimentar más ataques, y el monitoreo continuo es esencial hasta que todos los sistemas estén verificados como seguros.
Imagen destacada de Unsplash, gráfico de TradingView
