据非营利网络安全组织Security Alliance(SEAL)称,近期出现利用开源前端JavaScript库React中的漏洞,向网站上传加密货币盗取程序的活动激增。
React用于构建用户界面,尤其在Web应用中。React团队于12月3日披露,白帽黑客Lachlan Davidson发现其软件中存在安全漏洞,允许未经身份验证的远程代码执行,这可能使攻击者插入并运行自己的代码。
SEAL表示,恶意行为者一直在利用漏洞CVE-2025-55182,向加密货币网站秘密添加钱包盗取代码。
“我们观察到通过利用近期React CVE漏洞向合法加密货币网站上传盗取程序的活动大幅增加。所有网站应立即检查前端代码中是否存在可疑资源,”SEAL团队表示。
“攻击不仅针对Web3协议!所有网站都面临风险。用户在签署任何许可签名时应保持谨慎。”
钱包盗取程序通常通过虚假弹窗提供奖励或类似手段,诱使用户签署交易。
收到钓鱼警告的网站应检查代码
SEAL团队表示,受影响的网站可能突然被标记为潜在钓鱼风险且无明确解释。他们建议网站主机采取预防措施,确保没有隐藏的盗取程序使用户面临风险。
“扫描主机是否存在CVE-2025-55182漏洞。检查您的前端代码是否突然加载来自未知主机的资源。检查前端代码加载的任何脚本是否为混淆的JavaScript。在签名请求时检查钱包是否显示正确的接收方,”他们表示。
相关:朝鲜‘虚假Zoom’加密货币黑客攻击现已成为日常威胁:SEAL
“如果您的项目被阻止,这可能是原因。在请求移除钓鱼页面警告之前,请先检查您的代码,”SEAL团队补充道。
React已发布漏洞修复程序
React团队于12月3日发布了CVE-2025-55182的修复程序,并建议使用react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack的任何用户立即升级并关闭漏洞。
“如果您的应用的React代码不使用服务器,则您的应用不受此漏洞影响。如果您的应用不使用支持React服务器组件的框架、打包程序或打包程序插件,则您的应用不受此漏洞影响,”团队补充道。
杂志:认识比警察更擅长打击犯罪的链上加密货币侦探
