Hacker đang khai thác thư viện JavaScript để cài đặt trình rút tiền crypto

cointelegraphXuất bản vào 2025-12-15Cập nhật gần nhất vào 2025-12-15

Tóm tắt

Theo báo cáo từ tổ chức an ninh mạng SEAL, các tin tặc đang khai thác lỗ hổng bảo mật CVE-2025-55182 trong thư viện JavaScript React để cài đặt mã độc "crypto drainer" vào các trang web hợp pháp. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, từ đó chèn các đoạn script đánh cắp tiền điện tử. SEAL cảnh báo sự gia tăng đáng kể các vụ tấn công này và khuyến nghị chủ sở hữu website kiểm tra mã front-end ngay lập tức, đặc biệt khi trang web bị đánh dấu là nguy cơ lừa đảo. Nhóm React đã phát hành bản vá vào ngày 3/12 và khuyến nghị nâng cấp khẩn cấp các gói react-server-dom. Người dùng nên thận trọng khi ký bất kỳ giao dịch nào.

Theo tổ chức an ninh mạng phi lợi nhuận Security Alliance (SEAL), gần đây đã có sự gia tăng các trình rút tiền crypto được tải lên trang web thông qua lỗ hổng trong thư viện JavaScript front-end mã nguồn mở React.

React được sử dụng để xây dựng giao diện người dùng, đặc biệt là trong các ứng dụng web. Đội ngũ React đã tiết lộ vào ngày 3/12 rằng một hacker mũ trắng, Lachlan Davidson, đã tìm thấy một lỗ hổng bảo mật trong phần mềm của họ cho phép thực thi mã từ xa không xác thực, điều này có thể cho phép kẻ tấn công chèn và chạy mã của riêng chúng.

Theo SEAL, các actor xấu đã sử dụng lỗ hổng CVE-2025-55182 để âm thầm thêm mã rút ví vào các trang web crypto.

“Chúng tôi đang quan sát thấy sự gia tăng lớn của các trình rút tiền được tải lên các trang web crypto hợp pháp thông qua khai thác CVE gần đây của React. Tất cả các trang web nên xem tra mã front-end để tìm bất kỳ tài sản đáng ngờ nào NGAY BÂY GIỜ,” SEAL Team cho biết.

“Cuộc tấn công không chỉ nhắm mục tiêu vào các giao thức Web3! Tất cả các trang web đều có nguy cơ. Người dùng nên thận trọng khi ký BẤT KỲ chữ ký ủy quyền nào.”

Các trình rút ví thường lừa người dùng ký vào một giao dịch thông qua các phương pháp như cửa sổ bật lên giả mạo cung cấp phần thưởng hoặc các chiến thuật tương tự.

Nguồn: Security Alliance

Các trang web có cảnh báo lừa đảo nên kiểm tra mã

Theo SEAL Team, các trang web bị ảnh hưởng có thể đột nhiên bị đánh dấu là có nguy cơ lừa đảo mà không có giải thích. Họ khuyến nghị các chủ trang web nên thực hiện các biện pháp phòng ngừa để đảm bảo không có trình rút tiền ẩn nào có thể gây rủi ro cho người dùng.

“Quét máy chủ để tìm CVE-2025-55182. Kiểm tra xem mã front-end của bạn có đột nhiên tải tài sản từ các máy chủ mà bạn không nhận ra không. Kiểm tra xem có bất kỳ tập lệnh nào được tải bởi mã front-end của bạn là JavaScript bị làm xáo trộn không. Kiểm tra xem ví có hiển thị đúng người nhận trên yêu cầu ký chữ ký không,” họ nói.

Liên quan: Cuộc tấn công crypto ‘Zoom giả’ của Triều Tiên hiện là mối đe dọa hàng ngày: SEAL

“Nếu dự án của bạn đang bị chặn, đó có thể là lý do. Vui lòng xem xét mã của bạn trước khi yêu cầu gỡ cảnh báo trang lừa đảo,” SEAL Team nói thêm.

React đã phát hành bản sửa lỗi cho lỗ hổng

Đội ngũ React đã công bố bản sửa lỗi cho CVE-2025-55182 vào ngày 3/12 và khuyên bất kỳ ai đang sử dụng react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, nên nâng cấp ngay lập tức và đóng lỗ hổng.

“Nếu mã React ứng dụng của bạn không sử dụng máy chủ, ứng dụng của bạn không bị ảnh hưởng bởi lỗ hổng này. Nếu ứng dụng của bạn không sử dụng framework, bundler hoặc bundler plugin hỗ trợ React Server Components, ứng dụng của bạn không bị ảnh hưởng bởi lỗ hổng này,” đội ngũ nói thêm.

Tạp chí: Gặp gỡ các thám tử crypto onchain chống tội phạm tốt hơn cả cảnh sát

Câu hỏi Liên quan

QThư viện JavaScript nào đang bị tin tặc khai thác để cài đặt phần mềm đánh cắp tiền mã hóa?

AThư viện React đang bị tin tặc khai thác thông qua lỗ hổng bảo mật CVE-2025-55182 để cài đặt crypto drainer.

QLỗ hổng CVE-2025-55182 trong React cho phép tin tặc thực hiện hành động gì?

ALỗ hổng này cho phép thực thi mã từ xa không xác thực, giúp kẻ tấn công chèn và chạy mã độc của chúng.

QTổ chức an ninh mạng nào đã cảnh báo về sự gia tăng của các vụ tấn công này?

ATổ chức phi lợi nhuận Security Alliance (SEAL) đã đưa ra cảnh báo về sự gia tăng đáng kể của các cuộc tấn công này.

QCác trang web bị ảnh hưởng có thể gặp phải dấu hiệu cảnh báo nào?

ACác trang web có thể đột nhiên bị đánh dấu là có nguy cơ lừa đảo (phishing) mà không có giải thích rõ ràng.

QNhóm React đã làm gì để khắc phục lỗ hổng này?

ANhóm React đã phát hành bản sửa lỗi vào ngày 3 tháng 12 và khuyến nghị người dùng các gói react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack nâng cấp ngay lập tức.

Nội dung Liên quan

Phiên điều trần của Warsh kết thúc, những tín hiệu đáng chú ý nào đối với ngành công nghiệp tiền mã hóa?

Phiên điều trần của ứng viên Fed Judy Shelton (có biệt danh "Warsh") kết thúc với nhiều tín hiệu quan trọng cho ngành crypto. Bà khẳng định sẽ duy trì độc lập trong chính sách tiền tệ trước sức ép giảm lãi suất từ cựu Tổng thống Trump, nhưng vấp phải chỉ trích từ đảng Dân chủ về tính minh bạch. Đáng chú ý, Shelton sở hữu danh mục đầu tư lớn vào các công ty crypto và blockchain (như Solana, Lemon Cash) nhưng cam kết sẽ thoái vốn để tuân thủ quy định đạo đức. Bà chỉ trích Cục Dự trữ Liên bang (Fed) đã "sai lầm chết người" trong kiểm soát lạm phát và kêu gọi cải cách toàn diện, bao gồm thay đổi khung lạm phát và phương thức giao tiếp. Đối với thị trường crypto, quan điểm của bà về việc thu hẹp bảng cân đối kế toán của Fed (hiện 6.700 tỷ USD) sẽ tác động trực tiếp đến thanh khoản toàn cầu. Mặc dù tránh đề cập trực tiếp đến crypto, việc một chủ tịch Fed am hiểu công nghệ blockchain lên nắm quyền được kỳ vọng sẽ mang lại góc nhìn cởi mở hơn, dù vẫn cần thận trọng trước áp lực chính trị từ Nhà Trắng.

marsbit4 giờ trước

Phiên điều trần của Warsh kết thúc, những tín hiệu đáng chú ý nào đối với ngành công nghiệp tiền mã hóa?

marsbit4 giờ trước

Cuộc điều trần Fed 'hình thức hơn thực chất': Warsh không bàn lãi suất, nhưng mang đến 'liều thuốc an thần' cho crypto

Cuộc điều trần của ứng viên Chủ tịch Cục Dự trữ Liên bang Mỹ (Fed) Kevin Warsh trước Ủy ban Ngân hàng Thượng viện diễn ra vào ngày 21/4 được đánh giá là một màn trình diễn chính trị "hình thức hơn thực chất". Thay vì thảo luận sâu về chính sách lãi suất, Warsh tập trung bảo vệ tính độc lập của Fed, khẳng định ông sẽ không chịu sự chi phối của cựu Tổng thống Trump. Mặc dù chuẩn bị bản phát biểu dài gần 2000 từ, Warsh hầu như không đề cập đến định hướng chính sách tiền tệ cụ thể, chỉ nhấn mạnh việc thu hẹp bảng cân đối kế toán một cách thận trọng. Diễn biến quan trọng nhất nằm ngoài cuộc điều trần: việc Warsh có được xác nhận hay không phụ thuộc vào thương lượng giữa Trump và Thượng nghị sĩ Thom Tillis - người đe dọa chặn đề cử nếu Trump không ngừng điều tra Chủ tịch đương nhiệm Jerome Powell. Đối với ngành crypto, Warsh mang đến tín hiệu tích cực. Ông cam kết thoái vốn khỏi các tài sản crypto nếu được bổ nhiệm, nhưng đồng thời khẳng định: "Tài sản kỹ thuật số là một phần của ngành dịch vụ tài chính Mỹ", công nhận tính hợp pháp và tầm quan trọng của ngành. Tuyên bố này được giới đầu tư đánh giá cao, coi đây là dấu hiệu cho thấy Fed dưới sự lãnh đạo của Warsh có thể sẽ thân thiện hơn với crypto.

Odaily星球日报6 giờ trước

Cuộc điều trần Fed 'hình thức hơn thực chất': Warsh không bàn lãi suất, nhưng mang đến 'liều thuốc an thần' cho crypto

Odaily星球日报6 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai

Bài viết Nổi bật

Làm thế nào để Mua CFG

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Centrifuge (CFG) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Centrifuge (CFG) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Centrifuge (CFG) của BạnSau khi mua Centrifuge (CFG), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Centrifuge (CFG)Giao dịch Centrifuge (CFG) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 289Xuất bản vào 2026.03.19Cập nhật vào 2026.03.19

Làm thế nào để Mua CFG

WL là gì

I. Giới thiệu Dự ánWorldLand là một L2 hoặc chuỗi phụ của Ethereum, được thiết kế như một giải pháp từ dưới lên nhằm nâng cao hệ sinh thái Ethereum.II. Thông tin Token1) Thông tin cơ bảnTên token: WL (WorldLand)III. Liên kết liên quanWebsite:https://worldland.foundation/Trình khám phá:https://bscscan.com/address/0x8aaB31fbc69C92fa53f600910Cf0f215531F8239Mạng xã hội:https://x.com/WorldLand_space Ghi chú: Giới thiệu dự án đến từ các tài liệu được công bố hoặc cung cấp bởi đội ngũ dự án chính thức, chỉ mang tính tham khảo và không cấu thành lời khuyên đầu tư. HTX không chịu trách nhiệm cho bất kỳ tổn thất trực tiếp hoặc gián tiếp nào phát sinh.

Tổng lượt xem 321Xuất bản vào 2026.03.28Cập nhật vào 2026.03.28

WL là gì

Làm thế nào để Mua WL

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua WorldLand (WL) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua WorldLand (WL) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ WorldLand (WL) của BạnSau khi mua WorldLand (WL), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch WorldLand (WL)Giao dịch WorldLand (WL) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 552Xuất bản vào 2026.03.28Cập nhật vào 2026.03.28

Làm thế nào để Mua WL

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của A (A) được trình bày dưới đây.

活动图片