攻击者正在利用React服务器组件中的一个关键漏洞,向实时网站注入恶意代码,这些代码正在从连接的钱包中窃取加密资产。
报告指出,该漏洞被标记为CVE-2025-55182,由React团队于12月3日公布,并被评定为最高严重等级。
网络安全公司Security Alliance(SEAL)已确认多个加密网站正遭受针对性攻击,并敦促运营商立即检查所有React服务器组件,以防止钱包盗取攻击。
安全团队表示,该漏洞允许未经身份验证的攻击者在受影响的服务器上运行代码,目前已被用于多个网站的钱包盗取活动。
图片来源:Shutterstock
使用服务器组件的网站面临广泛风险
SEAL表示,该漏洞影响19.0至19.2.0版本的React服务器组件包,漏洞披露后已发布修复版本19.0.1、19.1.2和19.2.1。
加密盗取者利用React CVE-2025-55182
我们观察到通过近期React CVE漏洞利用,合法(加密)网站上传的盗取程序大幅增加。
所有网站应立即检查前端代码中的可疑资产。
— Security Alliance (@_SEAL_Org) 2025年12月13日
该漏洞通过利用Flight协议中的不安全反序列化,允许单个精心构造的HTTP请求以Web服务器权限执行任意代码。安全团队警告称,许多使用默认配置的网站在应用更新之前都将面临风险。
攻击者向受感染页面注入钱包盗取脚本
根据行业报告,威胁行为者正在利用该漏洞植入脚本,诱导用户连接Web3钱包,然后劫持或重定向交易。
在某些情况下,注入的代码会更改用户界面或替换地址,使用户误以为向某个账户发送资金,而实际交易却支付给攻击者。这种方法可能影响那些信任熟悉加密网站且未仔细检查每次授权就连接钱包的用户。
地下论坛涌现大量扫描工具和概念验证
安全研究人员报告称,漏洞披露后不久,地下论坛迅速涌现出扫描工具、虚假概念验证代码和漏洞利用工具包。
云和威胁情报团队观察到多个组织正在扫描易受攻击的服务器并测试有效载荷,这加速了主动利用。
一些防御者表示,扫描的速度和规模使得在应用补丁之前难以阻止所有攻击尝试。
超过50家组织报告遭遇入侵尝试
根据事件响应者的报告,在金融、媒体、政府和技术等领域的50多家组织中观察到了利用后加密活动。
在多次调查中,攻击者建立立足点后,利用这些立足点传递更多恶意软件或植入针对钱包用户的前端代码。
SEAL强调,未能修补或监控其服务器的组织可能会遭受进一步攻击,在所有系统确认为安全之前,持续监控至关重要。
特色图片来自Unsplash,图表来自TradingView
