JavaScript庫React的一項漏洞,將加密錢包抽取程式上傳至網站的情況有所增加。
React主要用於建立使用者介面,尤其適用於Web應用程式。React團隊於12月3日表示,一名白帽駭客Lachlan Davidson發現該軟體存在安全漏洞,允許未經認證的遠端程式碼執行。攻擊者可藉此插入並執行自己的程式碼。
SEAL指出,犯罪分子一直利用此CVE-2025-55182漏洞,將竊取錢包資金的程式碼悄悄植入加密貨幣網站。
SEAL團隊指出:「我們觀察到,近期有越來越多攻擊者利用React相關CVE,將drainer(資金竊取程式)上傳至合法的加密貨幣網站。所有網站現在都應檢查前端程式碼中是否存在可疑資源。」
「這種攻擊不只針對Web3協議!所有網站都存在風險。用戶在簽署任何permit簽名時都應保持警覺。」
攻擊者通常會利用偽造獎勵彈窗等方式,誘導用戶簽署交易。
帶有釣魚警告的網站需檢查程式碼
SEAL團隊表示,受影響的網站可能會被無預警標記為潛在釣魚風險。他們建議網站託管方採取預防措施,確保沒有任何潛藏的drainer危及用戶。
他們說:「請掃描伺服器是否存在CVE-2025-55182漏洞。檢查你的前端程式碼是否突然從陌生伺服器載入資源。檢查你的前端程式碼所載入的JavaScript腳本是否經過混淆。請確認錢包在簽名請求時顯示的收款方是否正確。」
SEAL團隊補充:「如果你的專案遭到攔截,這可能就是原因。請在申請移除釣魚頁面警告前,務必先檢查你的程式碼。」
React已釋出漏洞修補
React團隊已於12月3日針對CVE-2025-55182釋出修補程式,並建議所有使用react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack的用戶立即升級,以防堵漏洞。
團隊補充:「如果你的應用中React程式碼未使用伺服器,則不受此漏洞影響。如果你的應用程式未採用支援React伺服器元件的框架、打包工具或外掛,則不受此漏洞影響。」
