Критический изъян в React Server Components используется злоумышленниками для внедрения вредоносного кода на работающие веб-сайты, и этот код переводит криптовалюту с подключенных кошельков.
Сообщается, что уязвимость, зарегистрированная как CVE-2025-55182, была опубликована командой React 3 декабря и имеет максимальный уровень серьезности.
Кибербезопасностная фирма Security Alliance (SEAL) подтвердила, что активно атакуются несколько криптовалютных сайтов, и они призывают операторов немедленно проверить все React Server Components, чтобы предотвратить атаки по опустошению кошельков.
Команды безопасности заявляют, что ошибка позволяет неаутентифицированному злоумышленнику запускать код на затронутых серверах, что было превращено в кампании по опустошению кошельков на нескольких сайтах.
Изображение: Shutterstock
Широкий риск для сайтов, использующих серверные компоненты
SEAL сообщила, что изъян затрагивает пакеты React Server Components в версиях с 19.0 по 19.2.0, а исправленные выпуски, такие как 19.0.1, 19.1.2 и 19.2.1, были выпущены после раскрытия информации.
Крипто-дренажеры используют CVE-2025-55182 в React
Мы наблюдаем большой всплеск загрузки дренажеров на легитимные (крипто) веб-сайты через эксплуатацию недавнего CVE в React.
Все веб-сайты должны ПРЯМО СЕЙЧАС проверить фронтенд-код на наличие подозрительных ассетов.
— Security Alliance (@_SEAL_Org) 13 декабря 2025 г.
Уязвимость работает путем эксплуатации небезопасной десериализации в протоколе Flight, позволяя одному специально созданному HTTP-запросу выполнять произвольный код с привилегиями веб-сервера. Команды безопасности предупредили, что многие сайты, использующие конфигурации по умолчанию, находятся в зоне риска, пока они не применят обновления.
Злоумышленники внедряют скрипты для опустошения кошельков в скомпрометированные страницы
Согласно сообщениям индустрии, threat actors используют эксплойт, чтобы внедрить скрипты, которые предлагают пользователям подключить Web3-кошельки, а затем перехватывают или перенаправляют транзакции.
В некоторых случаях внедренный код изменяет пользовательский интерфейс или подменяет адреса, так что пользователь считает, что отправляет средства на один счет, в то время как транзакция на самом деле отправляет злоумышленнику. Этот метод может затронуть пользователей, которые доверяют знакомым крипто-сайтам и подключают кошельки, не проверяя каждое подтверждение.
Сканеры и Proof-Of-Concepts заполонили подпольные форумы
Исследователи безопасности сообщают о наплыве инструментов сканирования, поддельного proof-of-concept кода и эксплойт-китов, распространяемых на подпольных форумах вскоре после раскрытия уязвимости.
Команды по облачной безопасности и анализу угроз наблюдали, как несколько групп сканируют уязвимые серверы и тестируют полезные нагрузки, что ускорило активную эксплуатацию.
Некоторые защитники заявляют, что скорость и объем сканирования затрудняют остановку всех попыток до применения заплаток.
Более 50 организаций сообщили о попытках компрометации
Согласно отчетам специалистов по реагированию на инциденты, пост-эксплуатационная криптоактивность наблюдалась в более чем 50 организациях в сфере финансов, медиа, государственного управления и технологий.
В нескольких расследованиях злоумышленники создавали плацдармы, а затем использовали их для доставки дополнительного вредоносного ПО или для внедрения фронтенд-кода, нацеленного на пользователей кошельков.
SEAL подчеркивает, что организации, которые не устанавливают заплатки или не мониторят свои серверы, могут столкнуться с дальнейшими атаками, и постоянный мониторинг необходим до тех пор, пока все системы не будут проверены как безопасные.
Featured image from Unsplash, chart from TradingView
