Cacat kritis dalam React Server Components sedang digunakan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam situs web langsung, dan kode tersebut mengalihkan kripto dari dompet yang terhubung.
Laporan mencatat bahwa kerentanan, yang dilacak sebagai CVE-2025-55182, diterbitkan oleh tim React pada 3 Desember dan memiliki peringkat keparahan maksimum.
Perusahaan keamanan siber Security Alliance (SEAL) telah mengonfirmasi bahwa beberapa situs web kripto secara aktif menjadi target, dan mereka mendesak operator untuk meninjau semua React Server Components segera untuk mencegah serangan pengosongan dompet.
Tim keamanan mengatakan bug ini memungkinkan penyerang yang tidak terautentikasi untuk menjalankan kode di server yang terpengaruh, yang telah diubah menjadi kampanye pengosongan dompet di beberapa situs.
Gambar: Shutterstock
Risiko Luas Untuk Situs yang Menggunakan Server Components
SEAL mengatakan cacat tersebut memengaruhi paket React Server Components dalam versi 19.0 hingga 19.2.0, dan rilis yang ditambal seperti 19.0.1, 19.1.2, dan 19.2.1 diterbitkan setelah pengungkapan.
Crypto Drainers menggunakan React CVE-2025-55182
Kami mengamati peningkatan besar dalam drainer yang diunggah ke situs web (kripto) yang sah melalui eksploitasi React CVE baru-baru ini.
Semua situs web harus meninjau kode front-end untuk aset mencurigakan apa pun SEKARANG.
— Security Alliance (@_SEAL_Org) 13 Desember 2025
Kerentanan bekerja dengan mengeksploitasi deserialisasi yang tidak aman dalam protokol Flight, memungkinkan satu permintaan HTTP yang dirancang untuk mengeksekusi kode arbitrer dengan hak istimewa server web. Tim keamanan telah memperingatkan bahwa banyak situs yang menggunakan konfigurasi default berisiko sampai mereka menerapkan pembaruan.
Penyerang Menyuntikkan Skrip Pengosongan Dompet Ke Halaman yang Disusupi
Menurut postingan industri, aktor ancaman menggunakan eksploitasi untuk menanam skrip yang meminta pengguna untuk menghubungkan dompet Web3 dan kemudian membajak atau mengalihkan transaksi.
Dalam beberapa kasus, kode yang disuntikkan mengubah antarmuka pengguna atau menukar alamat, sehingga pengguna percaya mereka mengirim dana ke satu akun sementara transaksi sebenarnya membayar penyerang. Metode ini dapat mengenai pengguna yang mempercayai situs kripto yang familiar dan menghubungkan dompet tanpa memeriksa setiap persetujuan.
Pemindai Dan Bukti-Konsep Palsu Membanjiri Forum Bawah Tanah
Peneliti keamanan melaporkan banjir alat pemindaian, kode bukti-konsep palsu, dan kit eksploitasi yang dibagikan di forum bawah tanah tak lama setelah kerentanan diungkap.
Tim cloud dan intelijen ancaman telah mengamati beberapa grup memindai server yang rentan dan menguji muatan, yang telah mempercepat eksploitasi aktif.
Beberapa pembela mengatakan bahwa kecepatan dan volume pemindaian telah membuat sulit untuk menghentikan semua upaya sebelum tambalan diterapkan.
Lebih Dari 50 Organisasi Melaporkan Upaya Kompromi
Berdasarkan laporan dari penanggap insiden, aktivitas kripto pasca-eksploitasi telah diamati di lebih dari 50 organisasi di seluruh keuangan, media, pemerintah, dan teknologi.
Dalam beberapa investigasi, penyerang membangun pijakan dan kemudian menggunakannya untuk mengirimkan malware lebih lanjut atau untuk menyebarkan kode front-end yang menargetkan pengguna dompet.
SEAL telah menekankan bahwa organisasi yang gagal menambal atau memantau server mereka dapat mengalami serangan lebih lanjut, dan pemantauan berkelanjutan sangat penting sampai semua sistem diverifikasi aman.
Gambar unggulan dari Unsplash, grafik dari TradingView
