React Server Components漏洞概述
一项关键的React Server Components远程代码执行(RCE)漏洞正在被黑客利用,劫持服务器、盗取加密钱包、植入门罗币矿工,并加剧2025年高达30亿美元的盗窃潮,尽管紧急修补的呼吁不断。
漏洞影响与警告
根据安全联盟的报告,React Server Components中的这一关键安全漏洞引发了加密货币行业的紧急警告,威胁行为者正在利用这一缺陷盗取钱包资金并部署恶意软件。安全联盟宣布,加密盗窃者正在积极利用CVE-2025-55182,敦促所有网站立即检查其前端代码,以寻找可疑资产。
该漏洞不仅影响Web3协议,还影响所有使用React的网站,攻击者针对各个平台的许可签名进行攻击。用户在签署交易时面临风险,因为恶意代码会拦截钱包通信并将资金重定向到攻击者控制的地址,安全研究人员表示。
漏洞细节与修补
React官方团队于12月3日披露了CVE-2025-55182,并根据Lachlan Davidson在11月29日通过Meta Bug Bounty提交的报告,将其评级为CVSS 10.0。该未经身份验证的远程代码执行漏洞利用了React解码发送到服务器功能端点的有效负载的方式,使攻击者能够构造恶意HTTP请求,在服务器上执行任意代码。
该缺陷影响React版本19.0、19.1.0、19.1.1和19.2.0,涉及react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack包。包括Next.js、React Router、Waku和Expo在内的主要框架需要立即更新。
修补程序已在版本19.0.1、19.1.2和19.2.1中发布,Next.js用户需要在多个发布线中进行升级,从14.2.35到16.0.10。
后续发现与攻击趋势
研究人员在尝试利用这些修补程序时发现了React Server Components中的两个新漏洞,这些是与关键CVE无关的新问题。研究人员表示,React2Shell的修补程序仍然有效,能够防止远程代码执行漏洞。
Vercel已部署Web应用防火墙规则,以自动保护其平台上的项目,尽管该公司强调,仅依靠WAF保护是不够的。Vercel在其12月3日的安全公告中表示,必须立即升级到修补版本,并补充说,该漏洞影响以允许远程代码执行的方式处理不受信任输入的应用程序。
攻击者活动与洗钱现象
谷歌威胁情报小组记录了自12月3日以来的广泛攻击,追踪从机会主义黑客到政府支持的行动的犯罪团伙。根据报告,中国黑客团伙在被攻陷的系统上安装了多种类型的恶意软件,主要针对亚马逊网络服务和阿里云的云服务器。
这些攻击者采用技术以维持对受害系统的长期访问。某些团伙安装了创建远程访问隧道的软件,而其他团伙则部署了持续下载额外恶意工具的程序,这些工具伪装成合法文件。研究人员报告称,这些恶意软件隐藏在系统文件夹中,并自动重启以避免被检测到。
自12月5日起,财务动机驱动的犯罪分子加入了攻击潮,安装了利用受害者计算能力生成门罗币的加密挖矿软件。这些矿工在后台持续运行,增加了电费支出,同时为攻击者创造了利润。
建议与防护措施
研究人员观察到,地下黑客论坛迅速充斥着分享攻击工具和利用经验的讨论。React漏洞的出现紧随9月8日的攻击,黑客入侵了Josh Goldberg的npm账户,并向18个广泛使用的包(包括chalk、debug和strip-ansi)发布了恶意更新。
攻击者通过冒充npm支持的网络钓鱼活动获得了访问权限,声称账户将在9月10日之前更新双因素认证凭据,否则将被锁定。
黑客正在更快地盗取加密货币,一项洗钱过程的时间 reportedly 仅需2分57秒。全球Ledger数据显示,黑客在2025年上半年通过119起事件盗取了超过30亿美元,其中70%的泄露涉及在公开之前就转移了资金。
根据报告,仅有4.2%的被盗资产被追回,因为洗钱现在只需几秒钟,而不是几个小时。建议使用React或Next.js的组织立即修补到版本19.0.1、19.1.2或19.2.1,部署WAF规则,审计所有依赖项,监控网络流量中由Web服务器进程发起的wget或cURL命令,并寻找未经授权的隐藏目录或恶意shell配置注入。
