Les hackers exploitent une bibliothèque JavaScript pour installer des crypto-draineurs

cointelegraphPublié le 2025-12-15Dernière mise à jour le 2025-12-15

Résumé

Selon l'organisation de cybersécurité Security Alliance (SEAL), une augmentation significative d'attaques par "drainers" de cryptomonnaies exploitant une vulnérabilité de la bibliothèque JavaScript React a été observée. La faille, identifiée sous le code CVE-2025-55182, permet à des acteurs malveillants d'exécuter du code à distance et d'injecter discrètement des scripts frauduleux sur des sites web légitimes. Ces drainers trompent les utilisateurs en les incitant à signer de fausses transactions via de fausses promesses de récompenses. SEAL recommande aux propriétaires de sites de vérifier immédiatement leur code front-end pour détecter tout chargement suspect ou script obfusqué. L'équipe React a publié un correctif le 3 décembre et conseille une mise à jour urgente des bibliothèques concernées. Les sites utilisant exclusivement des composants clients ou sans serveur ne sont pas affectés.

Selon l'organisation à but non lucratif de cybersécurité Security Alliance (SEAL), on observe une récente augmentation des crypto-draineurs téléchargés sur des sites web via une vulnérabilité dans la bibliothèque JavaScript front-end open source React.

React est utilisé pour créer des interfaces utilisateur, en particulier dans les applications web. L'équipe React a divulgué le 3 décembre qu'un hacker white hat, Lachlan Davidson, a trouvé une faille de sécurité dans son logiciel qui permettait une exécution de code à distance non authentifiée, ce qui peut permettre à un attaquant d'insérer et d'exécuter son propre code.

Selon SEAL, des acteurs malveillants utilisent la vulnérabilité, CVE-2025-55182, pour ajouter secrètement du code de drainage de portefeuille sur des sites web de crypto.

« Nous observons une forte augmentation des draineurs téléchargés sur des sites web de crypto légitimes via l'exploitation de la récente CVE de React. Tous les sites web devraient examiner le code front-end pour tout actif suspect MAINTENANT », a déclaré le SEAL Team.

« L'attaque ne cible pas seulement les protocoles Web3 ! Tous les sites web sont à risque. Les utilisateurs doivent faire preuve de prudence lorsqu'ils signent TOUTE signature d'autorisation. »

Les draineurs de portefeuille dupent généralement les utilisateurs en les faisant signer une transaction par des méthodes telles qu'une fausse pop-up offrant des récompenses ou des tactiques similaires.

Source : Security Alliance

Les sites web avec un avertissement de phishing devraient vérifier leur code

Selon le SEAL Team, les sites web affectés peuvent avoir été soudainement signalés comme un risque d'hameçonnage potentiel sans explication. Ils recommandent aux hébergeurs de sites web de prendre des précautions pour s'assurer qu'il n'y a pas de draineurs cachés qui pourraient mettre les utilisateurs en danger.

« Scannez l'hôte pour CVE-2025-55182. Vérifiez si votre code front-end charge soudainement des actifs provenant d'hôtes que vous ne reconnaissez pas. Vérifiez si l'un des scripts chargés par votre code front-end est du JavaScript obfusqué. Vérifiez si le portefeuille affiche le bon destinataire sur la demande de signature », ont-ils déclaré.

Article connexe : Les piratages crypto 'faux Zoom' nord-coréens sont désormais une menace quotidienne : SEAL

« Si votre projet est bloqué, cela peut en être la raison. Veuillez examiner votre code d'abord avant de demander la suppression de l'avertissement de page de phishing », a ajouté le SEAL Team.

React a publié un correctif pour la vulnérabilité

L'équipe React a publié un correctif pour CVE-2025-55182 le 3 décembre et conseille à toute personne utilisant react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, de mettre à niveau immédiatement et de fermer la vulnérabilité.

« Si le code React de votre application n'utilise pas de serveur, votre application n'est pas affectée par cette vulnérabilité. Si votre application n'utilise pas de framework, de bundler ou de plugin de bundler qui prend en charge les React Server Components, votre application n'est pas affectée par cette vulnérabilité », a ajouté l'équipe.

Magazine : Rencontrez les détectives onchain de la crypto qui luttent contre le crime mieux que la police

Questions liées

QQuelle bibliothèque JavaScript est exploitée par les hackers pour installer des crypto-drainers ?

ALes hackers exploitent une vulnérabilité dans la bibliothèque JavaScript open-source React.

QQuel est le numéro CVE de la vulnérabilité découverte dans React ?

ALe numéro CVE de cette vulnérabilité est CVE-2025-55182.

QQuel type d'exécution de code cette vulnérabilité permet-elle ?

AElle permet une exécution de code à distance non authentifiée, permettant à un attaquant d'insérer et d'exécuter son propre code.

QQue recommande l'équipe SEAL aux propriétaires de sites web pour se protéger ?

AIls recommandent de scanner l'hôte pour la CVE-2025-55182, de vérifier que le code front-end ne charge pas soudainement des ressources provenant d'hôtes non reconnus, et de s'assurer qu'aucun script obfusqué n'est chargé.

QQuand l'équipe React a-t-elle publié un correctif pour cette vulnérabilité ?

AL'équipe React a publié un correctif pour cette vulnérabilité le 3 décembre.

Lectures associées

W3.io et Space and Time collaborent pour lancer une infrastructure financière IA vérifiable

W3.io et Space and Time annoncent un partenariat pour fournir une infrastructure financière vérifiable pour les opérations automatisées pilotées par l'IA. Cette collaboration traite déjà plus de 200 000 opérations quotidiennes. Elle répond au défi de responsabilité ("accountability") que rencontrent les entreprises face à la prise de décision financière accélérée par les agents IA, en fournissant une preuve inaltérable de qui a approuvé quoi et quand. W3.io fournit sa plateforme pour créer et automatiser les workflows financiers en un jour, tandis que Space and Time agit comme la couche de données sous-jacente vérifiable, garantissant l'intégrité des informations. Ensemble, ils créent une chaîne de preuve immuable de l'exécution jusqu'au règlement. Le partenariat a été validé en production par Creatorland, une plateforme servant plus de 100 000 créateurs de contenu. Les citations des dirigeants (Porter Stowell de W3, Nate Holiday de Space and Time) soulignent que cette vérification complète est essentielle pour que les entreprises fassent confiance aux agents IA pour déplacer de l'argent réel. La plateforme W3 est déjà intégrée à de nombreux acteurs comme Circle, Stripe et PayPal.

TheNewsCryptoIl y a 1 h

W3.io et Space and Time collaborent pour lancer une infrastructure financière IA vérifiable

TheNewsCryptoIl y a 1 h

Le Procureur Général de New York Poursuit Coinbase et Gemini pour Violations Alléguées de la Loi de l'État

Dans une action judiciaire notable, le procureur général de New York Letitia James a intenté un procès contre Coinbase et Gemini, les accusant de violer les lois de l'État en opérant des marchés de prédiction assimilés à des jeux d'argent illégaux. Les entreprises n'auraient pas obtenu les licences requises de la Commission des jeux de l'État de New York. L'action soutient que ces plateformes permettent à des mineurs de moins de 21 ans (âge légal) de parier et réclame le remboursement des profits illégaux, des pénalités civiles triples et des restrictions marketing, notamment l'interdiction de promotion sur les campus universitaires. Les actions de COIN et GEMI ont chuté de 10% et 4% respectivement suite à l'annonce.

bitcoinistIl y a 2 h

Le Procureur Général de New York Poursuit Coinbase et Gemini pour Violations Alléguées de la Loi de l'État

bitcoinistIl y a 2 h

Une Extorsion Cryptographique Frappe le Détroit d'Ormuz Alors que les Escrocs Exploitent la Crise du Transport Maritime

Des escrocs exploitent la crise maritime actuelle dans le détroit d'Hormuz en envoyant de faux messages aux compagnies de navigation. Se faisant passer pour les autorités iraniennes, ils proposent un passage sécurisé en échange de frais de transit payables en Bitcoin ou Tether (USDT). Le cabinet maritime Marisks a confirmé la fraude. Le processus semble crédible : vérification de documents, fixation des frais en crypto-monnaie et promesse d’escorte. La fermeture du détroit, voie cruciale pour le pétrole, rend les armateurs vulnérables. Payer expose non seulement à une arnaque financière, mais aussi à de lourdes sanctions internationales, tout transfert étant susceptible d’être considéré comme un soutien matériel à l'Iran. Aucune réaction officielle de Téhéran n’a été enregistrée.

bitcoinistIl y a 5 h

Une Extorsion Cryptographique Frappe le Détroit d'Ormuz Alors que les Escrocs Exploitent la Crise du Transport Maritime

bitcoinistIl y a 5 h

Un chercheur du MIT propose une nouvelle voie pour rendre Bitcoin résistant aux ordinateurs quantiques

La directrice de l'initiative monétaire numérique du MIT, Neha Narula, propose une feuille de route pour protéger Bitcoin contre les futures attaques quantiques. Elle préconise une approche progressive : déployer dès maintenant une mise à jour logicielle (soft fork) introduisant un nouveau type de transaction sécurisé (P2MR, BIP 360) et un schéma de signature post-quantique. L'objectif est de permettre aux utilisateurs de sécuriser leurs fonds immédiatement sans attendre de résoudre les questions plus complexes, comme le sort des coins inactifs ou perdus. Narula estime que cette première étape, à faible risque et à fort bénéfice, est urgente. Elle générerait des données précieuses sur l'adoption et donnerait au réseau plus de temps pour se préparer. Bien que cette solution n'offre pas une protection à 100% (notamment en cas de réutilisation d'adresse), elle constitue une avancée cruciale. Le débat sur les mesures plus radicales pour les coins vulnérables peut être reporté à lorsque la menace quantique sera plus imminente.

bitcoinistIl y a 5 h

Un chercheur du MIT propose une nouvelle voie pour rendre Bitcoin résistant aux ordinateurs quantiques

bitcoinistIl y a 5 h

Ce qu'il faut savoir sur la poussée de la loi CLARITY cette semaine – et pourquoi la mi-mai est désormais cruciale

Après des mois de retard, le Sénat américain entre dans une phase décisive concernant le CLARITY Act. La commission bancaire doit notifier d'ici vendredi une révision du texte pour un vote fin avril, mais des pressions du secteur bancaire traditionnel pourraient repousser l'examen à mi-mai. Les banques contestent les restrictions sur les rendements des stablecoins, ciblant particulièrement le sénateur Thom Tillis. Bien qu'un compromis ait été trouvé fin mars satisfaisant l'industrie crypto, le texte n'est pas public. Des questions éthiques et des dispositions sur la finance décentralisée (DeFi) restent également en suspens. Tillis se dit optimiste malgré les négociations en cours.

bitcoinistIl y a 6 h

Ce qu'il faut savoir sur la poussée de la loi CLARITY cette semaine – et pourquoi la mi-mai est désormais cruciale

bitcoinistIl y a 6 h

Trading

Spot
Futures

Articles tendance

Comment acheter WL

Bienvenue sur HTX.com ! Nous vous permettons d'acheter WorldLand (WL) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément WorldLand (WL).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos WorldLand (WL)Après avoir acheté vos WorldLand (WL), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des WorldLand (WL)Tradez facilement WorldLand (WL) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

215 vues totalesPublié le 2026.03.28Mis à jour le 2026.03.28

Comment acheter WL

Comment acheter BASED

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Based (BASED) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Based (BASED).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Based (BASED)Après avoir acheté vos Based (BASED), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Based (BASED)Tradez facilement Based (BASED) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

204 vues totalesPublié le 2026.03.30Mis à jour le 2026.03.30

Comment acheter BASED

Comment acheter EDGE

Bienvenue sur HTX.com ! Nous vous permettons d'acheter edgeX (EDGE) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément edgeX (EDGE).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos edgeX (EDGE)Après avoir acheté vos edgeX (EDGE), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des edgeX (EDGE)Tradez facilement edgeX (EDGE) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

259 vues totalesPublié le 2026.03.31Mis à jour le 2026.03.31

Comment acheter EDGE

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de A (A) sont présentées ci-dessous.

活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow