Kerentanan Eksekusi Kode Jarak Jauh di React Server Components
Sebuah kerentanan eksekusi kode jarak jauh (RCE) yang kritis di React Server Components saat ini sedang dimanfaatkan oleh peretas untuk mengambil alih server, menguras dompet cryptocurrency, menanam penambang Monero, dan memperdalam gelombang pencurian yang diperkirakan mencapai $3 miliar pada tahun 2025, meskipun telah ada permohonan patch yang mendesak. Kerentanan ini telah memicu peringatan serius di seluruh industri cryptocurrency, karena aktor ancaman mengeksploitasi celah ini untuk menguras dompet dan menyebarkan malware, menurut laporan dari Security Alliance.
Peringatan dari Security Alliance
Security Alliance mengungkapkan bahwa penguras cryptocurrency secara aktif memanfaatkan CVE-2025-55182, dan mendesak semua situs web untuk segera meninjau kode front-end mereka demi mengidentifikasi aset yang mencurigakan. Kerentanan ini tidak hanya mempengaruhi protokol Web3, tetapi juga semua situs web yang menggunakan React, dengan penyerang menargetkan tanda tangan izin di berbagai platform. Pengguna berisiko saat menandatangani transaksi, karena kode jahat dapat mengintersepsi komunikasi dompet dan mengalihkan dana ke alamat yang dikendalikan oleh penyerang, menurut peneliti keamanan.
Detail Kerentanan dan Patch
Tim resmi React mengungkapkan CVE-2025-55182 pada 3 Desember, memberikan peringkat CVSS 10.0 setelah laporan dari Lachlan Davidson pada 29 November melalui Meta Bug Bounty. Kerentanan ini memungkinkan eksekusi kode jarak jauh yang tidak terautentikasi dengan mengeksploitasi cara React mendekode payload yang dikirim ke titik akhir Server Function, sehingga penyerang dapat membuat permintaan HTTP jahat yang mengeksekusi kode sembarangan di server. Celah ini mempengaruhi versi React 19.0, 19.1.0, 19.1.1, dan 19.2.0 di seluruh paket react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack. Kerangka kerja besar seperti Next.js, React Router, Waku, dan Expo juga memerlukan pembaruan segera.
Patch telah tersedia dalam versi 19.0.1, 19.1.2, dan 19.2.1, dengan pengguna Next.js perlu melakukan pembaruan di berbagai jalur rilis dari 14.2.35 hingga 16.0.10, sesuai dengan catatan rilis. Peneliti juga menemukan dua kerentanan baru di React Server Components saat mencoba mengeksploitasi patch, yang merupakan masalah terpisah dari CVE kritis. Patch untuk React2Shell tetap efektif terhadap eksploitasi eksekusi kode jarak jauh, menurut para peneliti.
Langkah Perlindungan dari Vercel
Vercel, penyedia platform, telah menerapkan aturan Web Application Firewall (WAF) untuk secara otomatis melindungi proyek di platformnya, meskipun perusahaan menekankan bahwa perlindungan WAF saja tidak cukup. Pembaruan segera ke versi yang telah dipatch sangat diperlukan, menurut buletin keamanan Vercel pada 3 Desember, yang menambahkan bahwa kerentanan ini mempengaruhi aplikasi yang memproses input tidak tepercaya dengan cara yang memungkinkan eksekusi kode jarak jauh.
Serangan yang Meluas dan Dampaknya
Google Threat Intelligence Group melaporkan serangan yang meluas mulai 3 Desember, melacak kelompok kriminal yang berkisar dari peretas oportunis hingga operasi yang didukung pemerintah. Kelompok peretas dari China menginstal berbagai jenis malware di sistem yang terkompromi, terutama menargetkan server cloud di Amazon Web Services dan Alibaba Cloud. Para penyerang ini menggunakan teknik untuk mempertahankan akses jangka panjang ke sistem korban. Beberapa kelompok menginstal perangkat lunak yang membuat terowongan akses jarak jauh, sementara yang lain menyebarkan program yang terus-menerus mengunduh alat jahat tambahan yang disamarkan sebagai file yang sah. Malware ini bersembunyi di folder sistem dan secara otomatis memulai ulang untuk menghindari deteksi.
Kriminal yang termotivasi secara finansial bergabung dalam gelombang serangan mulai 5 Desember, menginstal perangkat lunak penambangan cryptocurrency yang memanfaatkan daya komputasi korban untuk menghasilkan Monero. Penambang ini berjalan terus-menerus di latar belakang, meningkatkan biaya listrik sambil menghasilkan keuntungan bagi penyerang. Forum peretasan bawah tanah dengan cepat dipenuhi dengan diskusi yang membagikan alat serangan dan pengalaman eksploitasi.
Insiden Sebelumnya dan Rekomendasi
Kerentanan React ini mengikuti serangan pada 8 September, di mana peretas mengkompromikan akun npm Josh Goldberg dan menerbitkan pembaruan jahat untuk 18 paket yang banyak digunakan, termasuk chalk, debug, dan strip-ansi. Utilitas ini secara kolektif menyumbang lebih dari 2,6 miliar unduhan mingguan, dan para peneliti telah menemukan malware crypto-clipper yang mengintersepsi fungsi browser untuk menukar alamat dompet yang sah dengan alamat yang dikendalikan oleh penyerang.
CTO Ledger, Charles Guillemet, menggambarkan insiden ini sebagai “serangan rantai pasokan skala besar,” dan menyarankan pengguna tanpa dompet perangkat keras untuk menghindari transaksi on-chain. Para penyerang mendapatkan akses melalui kampanye phishing yang menyamar sebagai dukungan npm, mengklaim bahwa akun akan dikunci kecuali kredensial otentikasi dua faktor diperbarui sebelum 10 September. Para peretas mencuri cryptocurrency dan memindahkannya dengan cepat, dengan satu proses pencucian dilaporkan hanya memakan waktu 2 menit 57 detik.
Data Global Ledger menunjukkan bahwa para peretas mencuri lebih dari $3 miliar dalam 119 insiden pada paruh pertama tahun 2025, dengan 70% pelanggaran melibatkan dana yang dipindahkan sebelum menjadi publik. Hanya 4,2% dari aset yang dicuri yang berhasil dipulihkan, karena pencucian kini memakan waktu detik daripada jam. Organisasi yang menggunakan React atau Next.js disarankan untuk segera melakukan patch ke versi 19.0.1, 19.1.2, atau 19.2.1, menerapkan aturan WAF, mengaudit semua ketergantungan, memantau lalu lintas jaringan untuk perintah wget atau cURL yang diinisiasi oleh proses server web, dan mencari direktori tersembunyi yang tidak sah atau injeksi konfigurasi shell jahat.
