Некоммерческая организация Security Alliance (SEAL), специализирующаяся на кибербезопасности, сообщает о резком увеличении числа атак, в ходе которых на легитимные веб-сайты через уязвимость в популярной фронтенд-библиотеке React загружаются так называемые крипто-дренажеры (crypto drainers).
Суть уязвимости и масштабы угрозы
React — это открытая JavaScript-библиотека для создания пользовательских интерфейсов, широко используемая в веб-приложениях. 3 декабря команда React сообщила о критической уязвимости (CVE-2025-55182), обнаруженной белым хакером Лахланом Дэвидсоном. Эта уязвимость позволяет выполнять несанкционированный удаленный код, давая злоумышленникам возможность внедрять и запускать свой собственный код на целевых сайтах.
По данным SEAL, киберпреступники уже активно используют CVE-2025-55182 для скрытого добавления на криптовалютные сайты кода, предназначенного для опустошения кошельков.
«Мы наблюдаем резкий рост числа дренажеров, загружаемых на легитимные крипто-сайты через эксплуатацию недавней уязвимости в React. Всем веб-сайтам следует НЕМЕДЛЕННО проверить фронтенд-код на наличие подозрительных активов», — предупреждает команда SEAL.
«Атака нацелена не только на Web3-протоколы! Под угрозой находятся все сайты. Пользователям следует проявлять осторожность при подписании ЛЮБОГО разрешительного сообщения (permit signature)».
Крипто-дренажеры обычно обманом заставляют пользователей подписать транзакцию, например, с помощью фиктивного всплывающего окна, предлагающего награду, или другими подобными методами.
Рекомендации для владельцев сайтов
По словам экспертов SEAL, пораженные сайты могут внезапно начать помечаться браузерами или антивирусами как фишинговые без видимой причины. Владельцам ресурсов рекомендуют принять срочные меры.
- Просканировать хостинг на наличие уязвимости CVE-2025-55182.
- Проверить, не начал ли фронтенд-код неожиданно загружать ресурсы (assets) с незнакомых доменов.
- Убедиться, что среди загружаемых скриптов нет обфусцированного (намеренно запутанного) JavaScript-кода.
- Внимательно проверять, отображает ли кошелек правильного получателя в запросе на подписание транзакции.
По теме: Северокорейские хакеры ежедневно атакуют криптоиндустрию через фейковые Zoom-звонки: отчет SEAL
«Если ваш проект внезапно стал блокироваться, это может быть причиной. Пожалуйста, сначала проверьте свой код, прежде чем запрашивать снятие предупреждения о фишинговой странице», — добавили в SEAL.
Выпущено исправление
Команда React выпустила патч для устранения CVE-2025-55182 3 декабря. Всем, кто использует пакеты react-server-dom-webpack, react-server-dom-parcel или react-server-dom-turbopack, рекомендуется немедленно обновиться, чтобы закрыть уязвимость.
«Если код React в вашем приложении не использует сервер, ваше приложение не подвержено данной уязвимости. Если ваше приложение не использует фреймворк, сборщик (bundler) или плагин сборщика, поддерживающий React Server Components, ваше приложение также не затронуто», — уточнили разработчики.
Журнал: Ончейн-детективы: как крипто-сыщики борются с преступностью лучше полиции
Пока нет обсуждений.