Les hackers exploitent une bibliothèque JavaScript pour installer des crypto-draineurs

cointelegraphPublié le 2025-12-15Dernière mise à jour le 2025-12-15

Résumé

Selon l'organisation de cybersécurité Security Alliance (SEAL), une augmentation significative d'attaques par "drainers" de cryptomonnaies exploitant une vulnérabilité de la bibliothèque JavaScript React a été observée. La faille, identifiée sous le code CVE-2025-55182, permet à des acteurs malveillants d'exécuter du code à distance et d'injecter discrètement des scripts frauduleux sur des sites web légitimes. Ces drainers trompent les utilisateurs en les incitant à signer de fausses transactions via de fausses promesses de récompenses. SEAL recommande aux propriétaires de sites de vérifier immédiatement leur code front-end pour détecter tout chargement suspect ou script obfusqué. L'équipe React a publié un correctif le 3 décembre et conseille une mise à jour urgente des bibliothèques concernées. Les sites utilisant exclusivement des composants clients ou sans serveur ne sont pas affectés.

Selon l'organisation à but non lucratif de cybersécurité Security Alliance (SEAL), on observe une récente augmentation des crypto-draineurs téléchargés sur des sites web via une vulnérabilité dans la bibliothèque JavaScript front-end open source React.

React est utilisé pour créer des interfaces utilisateur, en particulier dans les applications web. L'équipe React a divulgué le 3 décembre qu'un hacker white hat, Lachlan Davidson, a trouvé une faille de sécurité dans son logiciel qui permettait une exécution de code à distance non authentifiée, ce qui peut permettre à un attaquant d'insérer et d'exécuter son propre code.

Selon SEAL, des acteurs malveillants utilisent la vulnérabilité, CVE-2025-55182, pour ajouter secrètement du code de drainage de portefeuille sur des sites web de crypto.

« Nous observons une forte augmentation des draineurs téléchargés sur des sites web de crypto légitimes via l'exploitation de la récente CVE de React. Tous les sites web devraient examiner le code front-end pour tout actif suspect MAINTENANT », a déclaré le SEAL Team.

« L'attaque ne cible pas seulement les protocoles Web3 ! Tous les sites web sont à risque. Les utilisateurs doivent faire preuve de prudence lorsqu'ils signent TOUTE signature d'autorisation. »

Les draineurs de portefeuille dupent généralement les utilisateurs en les faisant signer une transaction par des méthodes telles qu'une fausse pop-up offrant des récompenses ou des tactiques similaires.

Les sites web avec un avertissement de phishing devraient vérifier leur code

Selon le SEAL Team, les sites web affectés peuvent avoir été soudainement signalés comme un risque d'hameçonnage potentiel sans explication. Ils recommandent aux hébergeurs de sites web de prendre des précautions pour s'assurer qu'il n'y a pas de draineurs cachés qui pourraient mettre les utilisateurs en danger.

« Scannez l'hôte pour CVE-2025-55182. Vérifiez si votre code front-end charge soudainement des actifs provenant d'hôtes que vous ne reconnaissez pas. Vérifiez si l'un des scripts chargés par votre code front-end est du JavaScript obfusqué. Vérifiez si le portefeuille affiche le bon destinataire sur la demande de signature », ont-ils déclaré.

Article connexe : Les piratages crypto 'faux Zoom' nord-coréens sont désormais une menace quotidienne : SEAL

« Si votre projet est bloqué, cela peut en être la raison. Veuillez examiner votre code d'abord avant de demander la suppression de l'avertissement de page de phishing », a ajouté le SEAL Team.

React a publié un correctif pour la vulnérabilité

L'équipe React a publié un correctif pour CVE-2025-55182 le 3 décembre et conseille à toute personne utilisant react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, de mettre à niveau immédiatement et de fermer la vulnérabilité.

« Si le code React de votre application n'utilise pas de serveur, votre application n'est pas affectée par cette vulnérabilité. Si votre application n'utilise pas de framework, de bundler ou de plugin de bundler qui prend en charge les React Server Components, votre application n'est pas affectée par cette vulnérabilité », a ajouté l'équipe.

Magazine : Rencontrez les détectives onchain de la crypto qui luttent contre le crime mieux que la police

Questions liées

QQuelle bibliothèque JavaScript est exploitée par les hackers pour installer des crypto-drainers ?

ALes hackers exploitent une vulnérabilité dans la bibliothèque JavaScript open-source React.

QQuel est le numéro CVE de la vulnérabilité découverte dans React ?

ALe numéro CVE de cette vulnérabilité est CVE-2025-55182.

QQuel type d'exécution de code cette vulnérabilité permet-elle ?

AElle permet une exécution de code à distance non authentifiée, permettant à un attaquant d'insérer et d'exécuter son propre code.

QQue recommande l'équipe SEAL aux propriétaires de sites web pour se protéger ?

AIls recommandent de scanner l'hôte pour la CVE-2025-55182, de vérifier que le code front-end ne charge pas soudainement des ressources provenant d'hôtes non reconnus, et de s'assurer qu'aucun script obfusqué n'est chargé.

QQuand l'équipe React a-t-elle publié un correctif pour cette vulnérabilité ?

AL'équipe React a publié un correctif pour cette vulnérabilité le 3 décembre.

Lectures associées

Polymarket et Kalshi font l'objet d'une enquête du Congrès — Les preuves qui l'ont déclenchée sont difficiles à ignorer

Le président de la commission de surveillance de la Chambre, James Comer, a ouvert une enquête sur les marchés de prédiction Polymarket et Kalshi à la suite de transactions suspectes liées à des opérations militaires classifiées. L'enquête, annoncée le 22 mai, exige des dirigeants des plateformes qu'ils expliquent leurs mesures contre le délit d'initié. Les preuves à l'origine de la procédure incluent des paris placés par un soldat des forces spéciales avant l'incursion au Venezuela, ainsi que les gains d'un trader ayant prédit avec 93% de succès des frappes contre l'Iran. En février 2026, 38 comptes ont collectivement gagné plus de 2 millions de dollars sur des paris liés à des frappes en Iran. Les plateformes se défendent, citant des outils de surveillance renforcés mis en place en mars 2026. Cependant, le volume de transactions, atteignant des dizaines de milliards, et leurs liens politiques accroissent la pression réglementaire. Cette enquête pourrait remodeler fondamentalement le secteur naissant des marchés de prédiction.

bitcoinistIl y a 25 mins

Polymarket et Kalshi font l'objet d'une enquête du Congrès — Les preuves qui l'ont déclenchée sont difficiles à ignorer

bitcoinistIl y a 25 mins

Avec un financement en prévente dépassant maintenant les 7 millions de dollars, Ozak AI entre dans une nouvelle phase de croissance marquée par des flux de capitaux réguliers

La prévente d'Ozak AI ($OZ) a franchi l'étape décisive des 7 millions de dollars de fonds levés, marquant son entrée dans une phase de croissance soutenue. Ce succès, parmi les plus rapides de l'année dans le secteur de l'IA, reflète un changement des préférences des investisseurs, qui se tournent désormais vers des projets à utilité concrète plutôt que vers les meme coins. Ozak AI combine la technologie de l'Intelligence Artificielle et les Réseaux d'Infrastructure Physique Décentralisés (DePIN) pour développer des solutions d'analyse intelligente et d'automation. Le jeton OZ, vendu à 0,014$ à ce stade de la prévente, joue un rôle central pour le jalonage, la gouvernance et l'expansion du réseau. La collecte de fonds régulière et la diminution de l'offre disponible de jetons indiquent une forte demande et un engagement des investisseurs sur le long terme. Alors que la prévente approche de sa fin, le projet se positionne en vue de son introduction prochaine sur les marchés publics.

TheNewsCryptoIl y a 1 h

Avec un financement en prévente dépassant maintenant les 7 millions de dollars, Ozak AI entre dans une nouvelle phase de croissance marquée par des flux de capitaux réguliers

TheNewsCryptoIl y a 1 h

Comment interpréter la répression sévère des courtiers transfrontaliers par huit ministères ?

Une action réglementaire conjointe de huit ministères chinois, dirigée par la CSRC, vise à éliminer les activités illégales de courtage transfrontalier en valeurs mobilières. Le plan de mise en œuvre, publié le 22 mai 2026, impose des sanctions sévères à des sociétés comme Futu et Tiger Brokers pour leur exploitation sans licence sur le marché intérieur. Leurs actions ont chuté de plus de 40% en pré-marché. Le fondement juridique repose sur le principe selon que toute activité de courtage en Chine nécessite une licence locale. Ces plateformes ont illégalement recruté des clients, traité des transactions et géré des fonds pour des investisseurs résidents chinois sans autorisation. La réglementation vise à combler cette faille et à mettre fin à une ère d'exploitation "grise". Les principales motivations des autorités sont la protection de la stabilité financière et des investisseurs. Ces canaux non réglementés facilitaient des sorties de capitaux non surveillées, potentiellement risquées pour la stabilité des changes et la sécurité des réserves de change. De plus, les investisseurs étaient exposés à des risques (gel de comptes, litiges) sans protection juridique locale et à des risques pour la sécurité de leurs données. L'impact sur les entreprises concernées est immédiat et sévère : interdiction des activités en Chine, obligation de liquider les portefeuilles des clients existants (achats interdits, ventes seulement), confiscation des profits illégaux et lourdes amendes. Environ 90 000 à 95 000 clients détiendraient des actifs d'une valeur estimée entre 250 et 280 milliards de yuans via ces canaux. Cette liquidation forcée sur deux ans exercera une pression à la vente soutenue sur les actions chinoises cotées à Hong Kong (H-shares) et aux États-Unis (ADRs), en particulier dans les secteurs technologiques et de la nouvelle économie privilégiés par ces investisseurs. Cela pourrait déplacer le pouvoir de fixation des prix vers les institutions étrangères. Pour le marché intérieur, les canaux de placement transfrontaliers légaux pour les particuliers (comme Hong Kong Stock Connect, avec un seuil de 500 000 yuans, et les fonds QDII, aux quotas limités) vont connaître une demande accrue. Les fonds QDII populaires sur les actions américaines pourraient voir leurs primes sur le marché secondaire augmenter durablement en raison de la pénurie d'offre. Parallèlement, une partie des capitaux des investisseurs à forte appétence pour le risque pourrait revenir vers les actions A, potentiellement vers les secteurs technologiques de croissance comme l'IA et les semi-conducteurs, avec un risque de surévaluation. En conclusion, cette répression vise à normaliser le marché, à contrôler les risques financiers systémiques et à protéger les investisseurs, et non à fermer les canaux d'investissement transfrontaliers. Elle souligne la nécessité pour les entreprises de se conformer à la réglementation et pour les investisseurs d'utiliser les voies légales pour une protection adéquate.

链捕手Il y a 3 h

Comment interpréter la répression sévère des courtiers transfrontaliers par huit ministères ?

链捕手Il y a 3 h

Anthropic publie le « manuel du fondateur » : les 4 étapes de l’entrepreneuriat entièrement repensées grâce à l’IA

Anthropic publie son "Guide du fondateur" pour les startups natives IA, restructurant l'entrepreneuriat en quatre phases. L'IA redéfinit la logique de création d'entreprise. Une startup native IA n'est pas une entreprise traditionnelle dotée de quelques outils, mais une entité dont les opérations sont pilotées par l'IA dès le premier jour. Le rôle du fondateur évolue vers celui d'un architecte et d'un décideur, coordonnant des agents IA pour les tâches d'exécution. Anthropic présente trois outils : **Claude Chat** (dialogue, recherche), **Claude Code** (génération de code) et **Claude Cowork** (automatisation des flux de travail). Le cycle de vie startup est décomposé en 4 étapes : 1. **Idée** : Valider le problème, pas la solution. Utiliser l'IA comme "avocat du diable" pour challenger les hypothèses et mener des études de marché. 2. **MVP** : Rechercher les premiers signes d'adhésion produit-marché. Utiliser l'IA pour coder (avec une architecture propre) et automatiser la collecte de retours utilisateurs. Éviter la dette technique et le "scope creep". 3. **Lancement** : Vérifier la capacité de croissance. Automatiser les opérations courantes (CRM, contenu) avec l'IA pour que le fondateur se concentre sur la stratégie, le financement et les clients. 4. **Mise à l'échelle** : Assurer la pérennité. Déléguer le contrôle opérationnel à l'IA et aux équipes. Une petite équipe peut, avec l'IA, réaliser la production d'une grande entreprise. La conclusion est claire : "Pouvoir construire" n'est plus la limite. L'avantage concurrentiel revient aux **qualités fondamentales** : le jugement, l'intuition et une compréhension profonde d'un problème et de son public.

marsbitIl y a 3 h

Anthropic publie le « manuel du fondateur » : les 4 étapes de l’entrepreneuriat entièrement repensées grâce à l’IA

marsbitIl y a 3 h

General Tensor et Talisman unissent leurs forces pour construire les infrastructures financières de l'IA décentralisée

General Tensor et Talisman Wallet ont annoncé un partenariat majeur visant à simplifier les interactions des utilisateurs et institutions avec Bittensor, tout en posant les bases d'une infrastructure financière prête pour les agents autonomes. Cette collaboration associe la technologie de portefeuille et multi-signature de Talisman aux opérations de validation, à l'infrastructure minière, à l'activité des sous-réseaux et à l'écosystème de plateforme de trading de General Tensor. Elle répond à la nécessité pour les réseaux d'IA décentralisée de disposer d'infrastructures financières robustes, similaires à celles qui ont permis aux marchés crypto traditionnels de se développer. Talisman, sécurisant environ 2 milliards de dollars d'actifs multichaînes (dont la moitié liée à Bittensor), a construit son portefeuille comme une couche de coordination entre l'intention de l'utilisateur, les agents automatisés et l'exécution sur la blockchain. Son produit institutionnel Signet offre une solution multi-signature opérationnelle. De son côté, General Tensor, grâce à son acquisition de Backprop Finance et son intégration verticale, cherche à combler le fossé entre l'intention au niveau du portefeuille et l'exécution au niveau du réseau. L'objectif est de créer des parcours fluides pour la garde, le trading, le jalonnement et la découverte de sous-réseaux. Ce partenariat reflète l'institutionnalisation croissante de l'IA décentralisée, attirant des investisseurs comme Digital Currency Group et des soutiens liés à Goldman Sachs, qui recherchent désormais une exposition opérationnelle au-delà du simple intérêt spéculatif.

TheNewsCryptoIl y a 4 h

General Tensor et Talisman unissent leurs forces pour construire les infrastructures financières de l'IA décentralisée

TheNewsCryptoIl y a 4 h

Trading

Spot

Futures

Articles tendance

Qu'est ce que GENIUS

I. Introduction au projet1. Qu'est-ce que Genius ?Genius (GENIUS) se positionne comme le « terminal ultime sur chaîne », une plateforme de trading décentralisée axée sur la confidentialité et la rapidité. En intégrant une technologie de confidentialité de premier plan, elle vise à construire une infrastructure de trading privée de nouvelle génération à travers des réseaux tels que BNB Chain, permettant aux utilisateurs d'interagir sur chaîne avec une expérience fluide comparable à celle des échanges centralisés.2. Comment fonctionne Genius ?L'architecture technique de base de Genius est structurée comme suit :(1) Invisible sur la chaîne : Les utilisateurs n'ont pas besoin de gérer manuellement des approbations en plusieurs étapes pour les opérations inter-chaînes, l'emballage d'actifs ou la gestion complexe des frais de gaz.(2) Trading sans signature : Grâce à des intégrations telles que Turnkey, Genius permet un trading instantané sans confirmations pop-up ni autorisation par transaction.(3) Agrégateur d'agrégateurs : Genius est alimenté par une pile d'agrégation de premier ordre intégrée à plus de 150 DEX, revendiquant une efficacité de cotation supérieure par rapport aux produits concurrents.(4) Gestion de compte : La plateforme adopte une architecture non custodiale et utilise Turnkey et Lit Protocol pour la gestion des clés, permettant aux utilisateurs d'accéder en toute sécurité à leurs comptes via des clés d'accès.3. Qui a créé Genius ?Selon ses Conditions de Service officielles, Genius a été développé par Shuttle Labs, Inc. D'après le compte officiel X du projet, Ryan Myher est l'un des contributeurs clés qui fait avancer l'itération du produit, y compris des développements tels que le déploiement du protocole Ghost, ainsi qu'un engagement communautaire plus large.Le fondateur de Binance, CZ, a officiellement rejoint le projet en tant que conseiller, avec pour objectif d'aider l'équipe à construire une expérience de trading sur chaîne plus rapide et plus respectueuse de la vie privée.De plus, le projet a reçu un fort soutien de YZi Labs, qui a investi dans Genius et travaille aux côtés de la Genius Foundation, responsable du maintien du protocole Genius Bridge (GBP).4. Tokenomics de GeniusGENIUS est le token natif de l'écosystème Genius. À l'heure actuelle, le projet n'a pas publié de document complet sur la tokenomics.Selon les dernières divulgations officielles, Genius incorpore un mécanisme déflationniste, et 4,6 % de l'offre totale de tokens a déjà été brûlée lors de la phase de lancement initial.Système de Genius Points (GP) :(1) Trade-to-Earn : La plateforme a établi un pool de récompenses de 200 millions de Genius Points, et les utilisateurs gagnent des GP pour chaque trade exécuté via le terminal.(2) Niveaux et Badges : Genius propose un système de badges basé sur la progression allant de Smart à God, avec des niveaux supérieurs débloquant des avantages et des bénéfices supplémentaires.(3) Rendement natif : Les utilisateurs détenant des actifs désignés tels que usdGG dans le tableau de bord peuvent gagner un rendement natif directement sans passer par un staking complexe.(4) Incitations à la recommandation : Les référents peuvent gagner des remises sur les frais de plus de 45 % payées en USDC, ainsi que des GP supplémentaires.5. Chronologie & Jalons clésMars 2020 : Le compte officiel X du projet a été créé, marquant le début de sa phase de préparation initiale.13 janvier 2026 : Genius a annoncé un investissement de plusieurs millions de dollars de YZi Labs et a simultanément confirmé CZ en tant que conseiller pour accélérer le développement de son infrastructure de trading respectueuse de la vie privée.18 avril 2026 : Le projet a annoncé que le protocole de confidentialité Ghost serait lancé bientôt.29 avril 2026 : Le protocole Ghost a officiellement ouvert ses portes à ses 50 premiers testeurs, marquant le début d'une nouvelle ère pour le trading privé sur BNB Chain. En même temps, l'équipe a confirmé que 4,6 % des tokens avaient été brûlés.II. Informations sur le token1) Informations de baseNom du token : GENIUS (Genius)III. Liens connexesSite Web : https://www.tradegenius.com/homeExplorateurs : https://bscscan.com/address/0x1f12b85aac097e43aa1555b2881e98a51090e9a6Réseaux sociaux : https://x.com/GeniusTerminalNote : L'introduction au projet provient des documents publiés ou fournis par l'équipe officielle du projet, qui est à titre de référence uniquement et ne constitue pas un conseil en investissement. HTX ne prend pas la responsabilité des pertes directes ou indirectes qui en résultent.

217 vues totalesPublié le 2026.04.29Mis à jour le 2026.05.12

Comment acheter GENIUS

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Genius (GENIUS) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Genius (GENIUS).Solde ：utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers ：pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P ：tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Genius (GENIUS)Après avoir acheté vos Genius (GENIUS), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Genius (GENIUS)Tradez facilement Genius (GENIUS) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

158 vues totalesPublié le 2026.04.29Mis à jour le 2026.05.12

Comment acheter MEGA

Bienvenue sur HTX.com ! Nous vous permettons d'acheter MegaETH (MEGA) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément MegaETH (MEGA).Solde ：utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers ：pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P ：tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos MegaETH (MEGA)Après avoir acheté vos MegaETH (MEGA), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des MegaETH (MEGA)Tradez facilement MegaETH (MEGA) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

163 vues totalesPublié le 2026.04.30Mis à jour le 2026.04.30

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de A (A) sont présentées ci-dessous.

Catégories populaires

Actualités des projets1,668 actualités