Một lỗ hổng nghiêm trọng trong React Server Components đang bị kẻ tấn công sử dụng để tiêm mã độc vào các trang web đang hoạt động, và mã đó đang đánh cắp tiền điện tử từ các ví được kết nối.
Báo cáo lưu ý rằng lỗ hổng, được theo dõi là CVE-2025-55182, đã được nhóm React công bố vào ngày 3 tháng 12 và mang mức đánh giá mức độ nghiêm trọng cao nhất.
Công ty an ninh mạng Security Alliance (SEAL) đã xác nhận rằng nhiều trang web tiền điện tử đang bị nhắm mục tiêu một cách tích cực, và họ kêu gọi các nhà điều hành xem xét ngay lập tức tất cả các React Server Components để ngăn chặn các cuộc tấn công rút ví.
Các nhóm an ninh cho biết lỗi này cho phép kẻ tấn công không xác thực chạy mã trên các máy chủ bị ảnh hưởng, điều này đã biến thành các chiến dịch rút ví trên nhiều trang web.
Hình ảnh: Shutterstock
Rủi Ro Rộng Đối Với Các Trang Web Sử Dụng Server Components
SEAL cho biết lỗ hổng ảnh hưởng đến các gói React Server Components từ phiên bản 19.0 đến 19.2.0, và các bản phát hành đã vá như 19.0.1, 19.1.2 và 19.2.1 đã được phát hành sau khi tiết lộ.
Crypto Drainers sử dụng React CVE-2025-55182
Chúng tôi đang quan sát thấy sự gia tăng lớn của các drainer được tải lên các trang web hợp pháp (tiền điện tử) thông qua khai thác React CVE gần đây.
Tất cả các trang web nên xem xét mã front-end để tìm bất kỳ tài sản đáng ngờ nào NGAY BÂY GIỜ.
— Security Alliance (@_SEAL_Org) December 13, 2025
Lỗ hổng hoạt động bằng cách khai thác quá trình giải tuần tự không an toàn trong giao thức Flight, cho phép một yêu cầu HTTP được tạo ra duy nhất thực thi mã tùy ý với các đặc quyền của máy chủ web. Các nhóm an ninh đã cảnh báo rằng nhiều trang web sử dụng cấu hình mặc định đang gặp rủi ro cho đến khi họ áp dụng các bản cập nhật.
Kẻ Tấn Công Tiêm Các Script Rút Ví Vào Các Trang Bị Xâm Nhập
Theo các bài đăng trong ngành, các tác nhân đe dọa đang sử dụng khai thác để cài đặt các script nhắc người dùng kết nối ví Web3 và sau đó chiếm đoạt hoặc chuyển hướng các giao dịch.
Trong một số trường hợp, mã được tiêm vào thay đổi giao diện người dùng hoặc hoán đổi địa chỉ, vì vậy người dùng tin rằng họ đang gửi tiền vào một tài khoản trong khi giao dịch thực sự trả tiền cho kẻ tấn công. Phương pháp này có thể ảnh hưởng đến người dùng tin tưởng vào các trang web tiền điện tử quen thuộc và kết nối ví mà không kiểm tra từng lần phê duyệt.
Các Công Cụ Quét Và Mã Proof-Of-Concept Tràn Ngập Các Diễn Đàn Ngầm
Các nhà nghiên cứu an ninh báo cáo về sự gia tăng ồ ạt của các công cụ quét, mã proof-of-concept giả mạo và bộ khai thác được chia sẻ trong các diễn đàn ngầm ngay sau khi lỗ hổng được tiết lộ.
Các nhóm tình báo đám mây và mối đe dọa đã quan sát thấy nhiều nhóm quét các máy chủ dễ bị tấn công và kiểm tra trọng tải, điều này đã đẩy nhanh việc khai thác tích cực.
Một số nhà bảo vệ cho biết tốc độ và khối lượng quét đã khiến việc ngăn chặn tất cả các nỗ lực trước khi áp dụng các bản vá trở nên khó khăn.
Hơn 50 Tổ Chức Báo Cáo Các Nỗ Lực Xâm Nhập
Dựa trên báo cáo từ những người phản ứng sự cố, hoạt động tiền điện tử sau khai thác đã được quan sát thấy tại hơn 50 tổ chức trong các lĩnh vực tài chính, truyền thông, chính phủ và công nghệ.
Trong một số cuộc điều tra, kẻ tấn công đã thiết lập chỗ đứng và sau đó sử dụng chúng để phân phối phần mềm độc hại khác hoặc gieo mã front-end nhắm mục tiêu người dùng ví.
SEAL đã nhấn mạnh rằng các tổ chức không vá hoặc giám sát máy chủ của họ có thể phải trải qua các cuộc tấn công tiếp theo, và việc giám sát liên tục là điều cần thiết cho đến khi tất cả các hệ thống được xác minh là an toàn.
Hình ảnh nổi bật từ Unsplash, biểu đồ từ TradingView
