Уразливість React використана хакерами, криптовалютні сайти зазнали хвилі атак з використанням JavaScript-злодіїв
Останнім часом швидко поширюється тип фронтенд-атак, спрямованих на користувачів криптовалют. Як повідомила некомерційна організація з кібербезпеки SEAL, хакери використовують нові вразливості у відкритій JavaScript-бібліотеці React для вставки криптовалютних крадіжок на легальні сайти, що призводить до значного зростання кількості таких атак.
React є однією з найпопулярніших сучасних фреймворків для веб-розробки і широко використовується для створення сайтів та веб-застосунків. 3 грудня офіційний канал React повідомив, що вразливість була виявлена білими хакерами Lachlan Davidson і отримала номер CVE-2025-55182. Ця вразливість дозволяє неавторизованому віддаленому виконанню коду, що дає змогу зловмисникам впроваджувати та запускати шкідливий код у фронтенді сайту.
SEAL зазначає, що зловмисники використовують цю вразливість для прихованого додавання крадіжного гаманця на криптовалютних сайтах. Ці шкідливі скрипти зазвичай маскуються під звичайні фронтенд-компоненти або ресурси і працюють без ведома користувача, спонукаючи його підписати зловмисну транзакцію і прямо красти активи з гаманця. Популярні методи включають фальшиві спливаючі вікна з винагородою або фішингові запити на авторизацію.
Варто зазначити, що SEAL підкреслює, що ця атака не обмежується тільки проектами Web3 або DeFi — будь-який сайт, що використовує уразливі компоненти React, під загрозою. Звичайним користувачам слід бути особливо уважними при підключенні гаманця, підписанні будь-яких дозволів або транзакцій у блокчейні, ретельно перевіряючи адреси отримувачів та зміст підпису.
Що стосується адміністраторів сайтів, SEAL рекомендує негайно провести повну перевірку, включаючи сканування серверів на вразливість CVE-2025-55182, перевірку, чи не завантажуються ресурси з незнайомих серверів, ідентифікацію потенційних замаскованих JavaScript-скриптів, а також перевірку інформації про отримувача у запитах підпису гаманця на предмет аномалій. Деякі уразливі сайти можуть бути позначені браузером або службами безпеки як фішингові без явної причини.
Офіційний канал React 3 грудня випустив патч для виправлення цієї вразливості і рекомендує усім проектам, що використовують react-server-dom-webpack, react-server-dom-parcel і react-server-dom-turbopack, негайно оновитися. Водночас, офіційно зазначено, що застосунки без використання серверних компонентів React не піддаються цій вразливості.
На тлі посилення крипто-безпеки ця атака на ланцюжок поставок фронтенду знову нагадує галузі, що веб-безпека стає системним ризиком у криптоекосистемі. (Cointelegraph)