黑客正利用JavaScript库植入加密货币盗取程序
网络安全非营利组织Security Alliance(SEAL)报告称,近期出现利用开源前端JavaScript库React中的漏洞上传加密货币盗取程序(crypto drainer)的事件激增。该漏洞编号为CVE-2025-55182,由白帽黑客于12月3日发现,允许未经身份验证的远程代码执行,攻击者可借此在加密货币网站中植入恶意代码。
此类盗取程序通常通过虚假弹窗等手法诱骗用户签署交易,导致资产被盗。SEAL警告称,不仅Web3协议受影响,所有网站均面临风险,建议用户谨慎处理任何签名请求。
受攻击的网站可能突然被标记为网络钓鱼风险。SEAL建议网站主机立即扫描漏洞,检查前端代码是否加载来源不明的资源或混淆脚本,并验证交易签名中的收款地址是否正确。
React团队已于12月3日发布修复补丁,呼吁使用react-server-dom-webpack等相关组件的用户立即升级。未使用服务器或React服务器组件的应用不受此漏洞影响。
cointelegraph12/15 06:17
