JavaScript库漏洞导致加密钱包遭攻击——网络安全公司

bitcoinist发布于2025-12-16更新于2025-12-16

文章摘要

网络安全公司Security Alliance (SEAL)警告称,攻击者正利用React服务器组件中的一个高危漏洞(CVE-2025-55182)向网站注入恶意代码,窃取用户加密钱包资产。该漏洞影响React 19.0至19.2.0版本,攻击者通过构造特殊HTTP请求可在服务器上执行任意代码,目前已发现50多家机构遭受攻击。攻击者通过在受感染页面植入脚本,诱导用户连接Web3钱包并劫持交易,篡改界面或替换地址以窃取资金。安全团队敦促相关组织立即检查并更新React组件,同时持续监控系统安全。

攻击者正在利用React服务器组件中的一个关键漏洞,向实时网站注入恶意代码,这些代码正在从连接的钱包中窃取加密资产。

报告指出,该漏洞被标记为CVE-2025-55182,由React团队于12月3日公布,并被评定为最高严重等级。

网络安全公司Security Alliance(SEAL)已确认多个加密网站正遭受针对性攻击,并敦促运营商立即检查所有React服务器组件,以防止钱包盗取攻击。

安全团队表示,该漏洞允许未经身份验证的攻击者在受影响的服务器上运行代码,目前已被用于多个网站的钱包盗取活动。

图片来源:Shutterstock

使用服务器组件的网站面临广泛风险

SEAL表示,该漏洞影响19.0至19.2.0版本的React服务器组件包,漏洞披露后已发布修复版本19.0.1、19.1.2和19.2.1。

该漏洞通过利用Flight协议中的不安全反序列化,允许单个精心构造的HTTP请求以Web服务器权限执行任意代码。安全团队警告称,许多使用默认配置的网站在应用更新之前都将面临风险。

攻击者向受感染页面注入钱包盗取脚本

根据行业报告,威胁行为者正在利用该漏洞植入脚本,诱导用户连接Web3钱包,然后劫持或重定向交易。

在某些情况下,注入的代码会更改用户界面或替换地址,使用户误以为向某个账户发送资金,而实际交易却支付给攻击者。这种方法可能影响那些信任熟悉加密网站且未仔细检查每次授权就连接钱包的用户。

BTCUSD现报89,626美元。图表来源:TradingView

地下论坛涌现大量扫描工具和概念验证

安全研究人员报告称,漏洞披露后不久,地下论坛迅速涌现出扫描工具、虚假概念验证代码和漏洞利用工具包。

云和威胁情报团队观察到多个组织正在扫描易受攻击的服务器并测试有效载荷,这加速了主动利用。

一些防御者表示,扫描的速度和规模使得在应用补丁之前难以阻止所有攻击尝试。

超过50家组织报告遭遇入侵尝试

根据事件响应者的报告,在金融、媒体、政府和技术等领域的50多家组织中观察到了利用后加密活动。

在多次调查中,攻击者建立立足点后,利用这些立足点传递更多恶意软件或植入针对钱包用户的前端代码。

SEAL强调,未能修补或监控其服务器的组织可能会遭受进一步攻击,在所有系统确认为安全之前,持续监控至关重要。

特色图片来自Unsplash,图表来自TradingView

相关问答

QReact Server Components 中的漏洞CVE-2025-55182主要影响哪些版本?

A该漏洞影响React Server Components的19.0至19.2.0版本,修补后的安全版本包括19.0.1、19.1.2和19.2.1。

Q攻击者如何利用这个漏洞进行攻击?

A攻击者通过Flight协议中的不安全反序列化漏洞,发送特制HTTP请求在服务器上执行任意代码,从而注入恶意脚本窃取加密货币钱包资产。

Q哪些类型的网站最可能受到此漏洞的影响?

A使用React Server Components且未及时更新补丁的网站,尤其是加密货币相关网站,攻击者通过篡改页面内容诱导用户连接钱包并劫持交易。

Q安全机构SEAL报告了多少组织遭受了攻击尝试?

A根据事件响应报告,超过50个组织遭受了攻击尝试,涉及金融、媒体、政府和科技等多个领域。

Q除了直接窃取加密货币,攻击者还可能利用该漏洞进行哪些后续操作?

A攻击者在获得初始访问权限后,可能部署更多恶意软件,或植入针对钱包用户的前端代码,进一步扩大攻击范围。

你可能也喜欢

从翻跟头到24小时连轴转:我们在WAIC看到了机器人的班味

在2026年上海世界人工智能大会(WAIC)上,机器人行业呈现出从“炫技”转向务实“落地”的显著变化。相比去年展示舞蹈、格斗等表演能力的机器人,今年展会更多聚焦于具备实际“工作能力”的轮式机器人,它们被部署在流水线、咖啡机旁等场景,执行具体任务。行业共识是,风向已从比拼参数转向冲刺商业化落地。 大会首次将具身智能提升为核心赛道,参展企业激增,真机数量超过300台。一个标志性变化是,数十台人形机器人首次作为志愿者大规模部署在会场提供导览服务。行业关注点也从“能否跳舞”转变为“能否连续工作24小时”、“功能能否复用”,量产成为关键分水岭。 然而,从实验室走向量产面临多重挑战:一是大模型上机存在算力和延迟难题;二是机器人系统对多传感器协同和实时计算的要求极高;三是需要跨产业链的协同,涉及设计、标准、品控等环节。 当前发展的核心瓶颈在于“大脑”(人工智能与决策能力),而非硬件“身体”。尽管硬件进步较快,但让机器人真正理解复杂指令并可靠执行仍有很长的路要走。多家企业展示了在“大脑”方向的努力,例如通过类脑模型改进规划与控制,或尝试通过自然语言指令让机器人完成系列任务。资本市场也向“大脑”研发公司投入重金。 成本是另一大现实难题。机器人价格呈现分化:消费级产品价格持续下探至万元以内,而工业级及高性能机器人价格依然高昂。高盛报告指出,将成本控制在2-3万美元是普及的关键。 关于机器人进入家庭这一终极场景,业界普遍认为时机尚未成熟。家庭环境完全非结构化,涉及安全、隐私和复杂任务,挑战巨大。虽有企业尝试以租赁模式探索家庭陪伴与服务,但现阶段的机器人更多被视作“智能玩具”,要完全替代人类完成家务仍需至少五年时间。 2026年被视为人形机器人的“量产元年”,意味着真机开始下线并交付客户,在工业等结构化场景中实现初步商用。但距离像消费电子一样走进千家万户仍然遥远。WAIC 2026成为机器人商业价值的“考场”,行业正在经历从“展品”到“产品”、从技术突破到稳定交付的成人礼。机器人能否真正“毕业”,取决于其在真实工作场景中的持续表现。

marsbit3小时前

从翻跟头到24小时连轴转:我们在WAIC看到了机器人的班味

marsbit3小时前

交易

现货
活动图片