Dompet Kripto Menjadi Target Eksploitasi Library JavaScript—Perusahaan Keamanan Siber

bitcoinistDipublikasikan tanggal 2025-12-16Terakhir diperbarui pada 2025-12-16

Abstrak

Kerentanan kritis (CVE-2025-55182) dalam React Server Components versi 19.0 hingga 19.2.0 sedang dieksploitasi secara aktif oleh peretas untuk menyuntikkan kode berbahaya ke situs web. Menurut firma keamanan Security Alliance (SEAL), penyerang memanfaatkan celah ini untuk menjalankan kode arbitrer pada server yang rentan, yang kemudian digunakan untuk mencuri aset kripto dari dompet digital pengguna. Eksploitasi ini memungkinkan penjahat siber menyisipkan skrip penipuan yang meminta pengguna menghubungkan dompet Web3, lalu mengalihkan atau membajak transaksi. Dalam beberapa kasus, antarmuka pengguna dimanipulasi agar korban mengirim dana ke alamat penyerang tanpa disadari. Lebih dari 50 organisasi, termasuk sektor keuangan dan teknologi, telah melaporkan upaya kompromi. Para peneliti memperingatkan bahwa alat pemindaian dan kit eksploitasi telah banyak dibagikan di forum bawah tanah, sehingga mempercepat serangan. SEAL mendesak semua operator untuk segera memeriksa dan memperbarui komponen React mereka ke versi yang telah ditambal (19.0.1, 19.1.2, 19.2.1) serta memantau server secara terus-menerus untuk mencegah serangan lebih lanjut.

Cacat kritis dalam React Server Components sedang digunakan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam situs web langsung, dan kode tersebut mengalihkan kripto dari dompet yang terhubung.

Laporan mencatat bahwa kerentanan, yang dilacak sebagai CVE-2025-55182, diterbitkan oleh tim React pada 3 Desember dan memiliki peringkat keparahan maksimum.

Perusahaan keamanan siber Security Alliance (SEAL) telah mengonfirmasi bahwa beberapa situs web kripto secara aktif menjadi target, dan mereka mendesak operator untuk meninjau semua React Server Components segera untuk mencegah serangan pengosongan dompet.

Tim keamanan mengatakan bug ini memungkinkan penyerang yang tidak terautentikasi untuk menjalankan kode di server yang terpengaruh, yang telah diubah menjadi kampanye pengosongan dompet di beberapa situs.

Gambar: Shutterstock

Risiko Luas Untuk Situs yang Menggunakan Server Components

SEAL mengatakan cacat tersebut memengaruhi paket React Server Components dalam versi 19.0 hingga 19.2.0, dan rilis yang ditambal seperti 19.0.1, 19.1.2, dan 19.2.1 diterbitkan setelah pengungkapan.

Kerentanan bekerja dengan mengeksploitasi deserialisasi yang tidak aman dalam protokol Flight, memungkinkan satu permintaan HTTP yang dirancang untuk mengeksekusi kode arbitrer dengan hak istimewa server web. Tim keamanan telah memperingatkan bahwa banyak situs yang menggunakan konfigurasi default berisiko sampai mereka menerapkan pembaruan.

Penyerang Menyuntikkan Skrip Pengosongan Dompet Ke Halaman yang Disusupi

Menurut postingan industri, aktor ancaman menggunakan eksploitasi untuk menanam skrip yang meminta pengguna untuk menghubungkan dompet Web3 dan kemudian membajak atau mengalihkan transaksi.

Dalam beberapa kasus, kode yang disuntikkan mengubah antarmuka pengguna atau menukar alamat, sehingga pengguna percaya mereka mengirim dana ke satu akun sementara transaksi sebenarnya membayar penyerang. Metode ini dapat mengenai pengguna yang mempercayai situs kripto yang familiar dan menghubungkan dompet tanpa memeriksa setiap persetujuan.

BTCUSD sekarang diperdagangkan pada $89.626. Grafik: TradingView

Pemindai Dan Bukti-Konsep Palsu Membanjiri Forum Bawah Tanah

Peneliti keamanan melaporkan banjir alat pemindaian, kode bukti-konsep palsu, dan kit eksploitasi yang dibagikan di forum bawah tanah tak lama setelah kerentanan diungkap.

Tim cloud dan intelijen ancaman telah mengamati beberapa grup memindai server yang rentan dan menguji muatan, yang telah mempercepat eksploitasi aktif.

Beberapa pembela mengatakan bahwa kecepatan dan volume pemindaian telah membuat sulit untuk menghentikan semua upaya sebelum tambalan diterapkan.

Lebih Dari 50 Organisasi Melaporkan Upaya Kompromi

Berdasarkan laporan dari penanggap insiden, aktivitas kripto pasca-eksploitasi telah diamati di lebih dari 50 organisasi di seluruh keuangan, media, pemerintah, dan teknologi.

Dalam beberapa investigasi, penyerang membangun pijakan dan kemudian menggunakannya untuk mengirimkan malware lebih lanjut atau untuk menyebarkan kode front-end yang menargetkan pengguna dompet.

SEAL telah menekankan bahwa organisasi yang gagal menambal atau memantau server mereka dapat mengalami serangan lebih lanjut, dan pemantauan berkelanjutan sangat penting sampai semua sistem diverifikasi aman.

Gambar unggulan dari Unsplash, grafik dari TradingView

Pertanyaan Terkait

QApa yang dimaksud dengan kerentanan CVE-2025-55182 dan bagaimana dampaknya?

ACVE-2025-55182 adalah kerentanan kritis dalam React Server Components yang memungkinkan penyerang menyuntikkan kode berbahaya ke situs web. Dampaknya, penyerang dapat mengeksekusi kode sewenang-wenang pada server dan mencuri aset kripto dari dompet yang terhubung.

QVersi mana dari React Server Components yang terdampak oleh kerentanan ini?

AKerentanan ini memengaruhi paket React Server Components versi 19.0 hingga 19.2.0. Versi yang telah diperbaiki adalah 19.0.1, 19.1.2, dan 19.2.1.

QBagaimana cara penyerang mengeksploitasi kerentanan ini untuk mencuri aset kripto?

APenyerang memanfaatkan deserialisasi yang tidak aman dalam protokol Flight melalui permintaan HTTP yang dirancang khusus. Mereka menyuntikkan skrip berbahaya yang meminta pengguna menghubungkan dompet Web3, lalu mengalihkan atau membajak transaksi untuk mencuri dana.

QApa yang direkomendasikan oleh Security Alliance (SEAL) kepada operator situs web?

ASEAL merekomendasikan agar semua operator situs web, khususnya yang bergerak di bidang kripto, segera meninjau semua React Server Components dan menerapkan pembaruan (patch) yang tersedia untuk mencegah serangan pengurasan dompet.

QSeberapa luas dampak dari eksploitasi kerentanan ini menurut laporan?

ABerdasarkan laporan, lebih dari 50 organisasi di sektor keuangan, media, pemerintah, dan teknologi telah mengalami upaya kompromi. Banyak kelompok penyerang aktif memindai server yang rentan dan menguji payload berbahaya.

Bacaan Terkait

Kalshi, MTS, dan Ambisi A16Z

**Ringkasan Artikel: Kalshi, MTS, dan Ambisi a16z** Pasar prediksi (prediction market) menjadi bidang yang menarik perhatian investor, komunitas kripto, dan media pada 2025. Meski memiliki daya tarik bisnis seperti arbitrase regulasi dan potensi fee transaksi tinggi, nilai mendasarnya terletak pada kemampuannya memberikan **"rasa keberadaan" (sense of presence)**. Artikel ini menelusuri evolusi ide pasar prediksi, dari konsep Friedrich Hayek tentang pasar sebagai pengumpul pengetahuan tersebar, hingga mekanisme insentif Robin Hanson (LMSR). Namun, diskusi filosofis ini menemukan relevansi baru ketika a16z (Andreessen Horowitz) berinvestasi pada **Kalshi**, sebuah platform pasar prediksi yang kini bernilai $220 miliar. Bagi a16z, Kalshi bukan sekadar platform taruhan. Ia adalah **media baru** yang memungkinkan orang terlibat secara aktif dalam peristiwa dunia. Dengan menggunakan uang sungguhan untuk "memprediksi" hasil suatu peristiwa (politik, cuaca, berita), pengguna merasa menjadi **pengamat super** yang berpartisipasi, bukan sekadar penonton pasif. Hal ini mengatasi rasa ketidakberdayaan di era modern. Kalshi, dengan volume dan data transaksi nyata, berpotensi memberikan otoritas final atas **kebenaran** dan **pentingnya** suatu peristiwa. Ini selaras dengan ambisi a16z membangun kekaisaran media baru, seperti yang terlihat pada **MTS (Monitoring The Situation)**, media yang melakukan siaran langsung 24/7 untuk "menguasai linimasa". Kombinasi antara narasi media yang intens (seperti MTS) dan legitimasi data nyata dari pasar prediksi (Kalshi) menciptakan **medan distorsi realitas** yang kuat. Kalshi bernilai tinggi karena kemampuannya mempengaruhi persepsi publik secara halus, misalnya melalui probabilitas hasil pemilu yang diperdagangkan, sesuatu yang jarang dimiliki perusahaan swasta. Inilah inti dari ambisi media baru a16z.

marsbit52m yang lalu

Kalshi, MTS, dan Ambisi A16Z

marsbit52m yang lalu

Terbaru: Veteran Chip OpenAI Bergabung dengan Anthropic

Pelaku industri OpenAI, Clive Chan, yang dikenal sebagai karyawan nomor dua di tim perangkat keras dan terlibat dalam proyek chip buatan OpenAI, mengumumkan telah bergabung dengan Anthropic. Ia menyebut tim chip OpenAI memiliki kepadatan bakat yang luar biasa, namun dorongan untuk "mendaki gunung baru dari dasar" membawanya ke Anthropic. Chan terkesan dengan bakat, nilai, dan ambisi tim Anthropic, serta merasakan intensitas kerja yang tinggi sejak hari pertama. Ketika ditanya tentang kemajuan chip buatan OpenAI, Chan merujuk pada blog kolaborasi antara OpenAI dan Broadcom yang dirilis Oktober 2025. Menurut blog tersebut, sistem akselerator AI buatan OpenAI dengan total skala 10GW ini menargetkan penyebaran dimulai pada paruh kedua 2026, dengan pengiriman rak pertama direncanakan pada waktu tersebut. Proyek diperkirakan berlanjut hingga akhir 2029. Chan, lulusan Universitas Waterloo tahun 2021, memiliki pengalaman kerja di Google, SpaceX, Tesla (tim infrastruktur Autopilot), dan QuEra sebelum bergabung dengan OpenAI pada Januari 2024. Kepindahannya ke Anthropic disambut oleh karyawan Anthropic lainnya dan menjadi bahan komentar netizen yang menyoroti tren perpindahan bakat antara kedua perusahaan AI terkemuka ini. Sebelumnya, pada Mei, salah satu pendiri OpenAI, Andrej Karpathy, juga bergabung dengan Anthropic. Anthropic baru-baru ini mengumumkan pendanaan H senilai $650 miliar, dengan valuasi pasca-pendanaan mencapai $9,65 triliun, mendekati klub bernilai triliunan dolar. Arus bakat antara OpenAI dan Anthropic terus berlanjut, menegaskan pentingnya talenta sebagai aset inti dalam persaingan AI mutakhir.

marsbit54m yang lalu

Terbaru: Veteran Chip OpenAI Bergabung dengan Anthropic

marsbit54m yang lalu

Perubahan Haluan Global a16z: VC Menjadi 'Pendorong' Aliansi Teknologi AS

Ben Horowitz dari a16z mengumumkan pergeseran strategis dalam pendekatan global perusahaan. VC ternama ini tidak lagi sekadar mencari proyek dan investasi internasional, tetapi kini memposisikan dirinya dalam kerangka kompetisi teknologi dan kerja sama aliansi yang lebih besar, terutama untuk mendukung kepemimpinan teknologi Amerika Serikat dan sekutunya. Peran VC berevolusi di tengah fokus baru pada AI, robotika, teknologi pertahanan, keamanan siber, dan ketahanan rantai pasokan. a16z merespons dengan membuka kantor di Tokyo, mengangkat Anne Neuberger sebagai Pemimpin Urusan Global untuk saran geopolitik, serta mengubah tim hubungan investor menjadi Tim Mitra Global yang dipimpin Jen Kha untuk menghubungkan pendiri dengan modal dan jaringan internasional. Tujuannya adalah membantu perusahaan portofolio berkembang secara global dengan akses ke jaringan penting, dari pemerintah hingga pembeli besar. Raghu Raghuram memimpin upaya ini, sementara tim lain terus berinvestasi pada pendiri terbaik di seluruh dunia. Intinya, a16z mendefinisikan ulang peran VC: dari penyedia modal menjadi pengorganisir yang menghubungkan startup dengan kemampuan nasional, sumber daya industri, sistem aliansi, dan modal global, sekaligus mendukung kepentingan kompetitif AS dan sekutunya.

marsbit1j yang lalu

Perubahan Haluan Global a16z: VC Menjadi 'Pendorong' Aliansi Teknologi AS

marsbit1j yang lalu

Ambisi Kalshi, MTS, dan a16z

Pasar prediksi menjadi bidang yang menarik pada tahun 2025, menghubungkan investor dolar, komunitas kripto, dan media. Artikel ini mengeksplorasi esensi pasar prediksi dan keselarasannya dengan visi "Media Baru" a16z. Pemikiran pasar prediksi berakar dari konsep Hayek tentang penggunaan pengetahuan tersebar dalam masyarakat, yang kemudian dikembangkan oleh Robin Hanson dengan mekanisme insentif LMSR-nya. Namun, diskusi filosofis ini menemukan relevansi barunya ketika a16z berinvestasi di Kalshi, sebuah platform pasar prediksi yang valuasinya melonjak. a16z melihat nilai inti Kalshi dan pasar prediksi terletak pada penyediaan "rasa kehadiran" atau keterlibatan. Dalam dunia di mana individu sering merasa terasing dari peristiwa, pasar prediksi menawarkan cara untuk terlibat secara aktif dengan "mempertaruhkan" pandangan seseorang tentang masa depan. Keterlibatan finansial ini mengubah peserta dari pengamat pasif menjadi "pengamat super" yang merasa terhubung dan memiliki agensi. Konsep "Media Baru" a16z adalah sistem komunikasi berkecepatan tinggi yang bertujuan mendominasi narasi secara instan. Contohnya adalah MTS, media yang menyiarkan berita penting secara real-time. Namun, kekuatan sebenarnya terletak pada otoritas yang dihasilkan pasar prediksi seperti Kalshi. Harga yang dibentuk oleh uang sungguhan memberikan klaim kebenaran dan kepentingan yang sulit disangkal, menciptakan semacam "medan distorsi realitas". Inilah yang menjelaskan valuasi tinggi Kalshi: kemampuannya yang langka untuk memengaruhi persepsi realitas sebagai sebuah perusahaan swasta, menjadikannya batu penjuru penting dalam ambisi kekaisaran media baru a16z.

链捕手1j yang lalu

Ambisi Kalshi, MTS, dan a16z

链捕手1j yang lalu

Mengungkap Kebenaran tentang Bisnis, Pembayaran, dan Infrastruktur Agent

Setahun terakhir, penulis fokus membangun infrastruktur untuk ekonomi Agen, berbicara dengan banyak perusahaan besar dan startup. Kesimpulannya, permintaan riil untuk perdagangan berbasis Agen saat ini masih sangat terbatas, dengan banyak kendala struktural. Di sisi **Agen ke Merchant**, pengalaman belanja via chatbot masih kalah dari e-commerce tradisional untuk kebanyakan produk, kecuali untuk pembelian rutin seperti pesan makanan. Minat merchant saat ini lebih bersifat defensif (optimasi untuk Agen) daripada kebutuhan mendesak. Di sisi **Agen ke API**, kebutuhan pembayaran mikro untuk panggilan API sudah bisa ditangani dengan metode prabayar. Peluang baru ada di pasar ekor panjang di luar penyedia layanan developer utama, namun skalanya terbatas. **Agen ke Agen** masih merupakan visi jangka panjang tanpa volume transaksi nyata, meskipun berpotensi besar di masa depan dengan karakteristik transaksi yang unik. **Agen ke Finansial** adalah satu-satunya kategori dengan permintaan jelas dan pelanggan yang sudah ada, seperti di manajemen investasi dan DeFi, meskipun persaingannya ketat. Intinya, perusahaan besar membangun infrastruktur sebagai investasi jangka panjang. Namun untuk startup, tantangan sebenarnya bukan sekadar membangun lapisan pembayaran, tetapi menyelesaikan masalah koordinasi yang lebih besar antara Agen dan manusia. Solusi koordinasi inilah yang nantinya akan mendorong kebutuhan penyelesaian dan pembayaran.

marsbit1j yang lalu

Mengungkap Kebenaran tentang Bisnis, Pembayaran, dan Infrastruktur Agent

marsbit1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow