React Server Components의 심각한 취약점
React Server Components의 심각한 원격 코드 실행(RCE) 버그가 악용되어 서버를 탈취하고, 암호화폐 지갑을 비우며, Monero 채굴기를 설치하는 등 2025년까지 30억 달러 규모의 도난 사건을 심화시키고 있습니다. 보안 동맹(Security Alliance)에 따르면, 이 취약점은 암호화폐 산업 전반에 걸쳐 긴급 경고를 촉발했으며, 위협 행위자들이 이 결함을 이용해 지갑을 비우고 악성 소프트웨어를 배포하고 있습니다.
보안 동맹은 암호화폐를 비우는 공격자들이 CVE-2025-55182를 적극적으로 무기화하고 있으며, 모든 웹사이트가 의심스러운 자산에 대해 즉시 프론트엔드 코드를 검토할 것을 촉구하고 있습니다.
취약점의 영향과 패치
이 취약점은 Web3 프로토콜뿐만 아니라 React를 사용하는 모든 웹사이트에 영향을 미치며, 공격자들은 플랫폼 전반에 걸쳐 허가 서명에 집중하고 있습니다. 보안 연구자들에 따르면, 사용자는 거래에 서명할 때 위험에 처하게 되며, 악성 코드가 지갑 통신을 가로채고 자금을 공격자가 제어하는 주소로 리디렉션합니다.
React의 공식 팀은 12월 3일 CVE-2025-55182를 공개하며, Lachlan Davidson이 11월 29일 Meta Bug Bounty를 통해 보고한 내용을 바탕으로 CVSS 10.0으로 평가했습니다. 이 인증되지 않은 원격 코드 실행 취약점은 React가 서버 기능 엔드포인트로 전송된 페이로드를 디코딩하는 방식을 악용하여 공격자가 임의의 코드를 서버에서 실행할 수 있도록 하는 악성 HTTP 요청을 생성할 수 있게 합니다.
이 결함은 react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 패키지의 React 버전 19.0, 19.1.0, 19.1.1, 19.2.0에 영향을 미칩니다. Next.js, React Router, Waku, Expo 등 주요 프레임워크는 즉각적인 업데이트가 필요합니다. 패치는 19.0.1, 19.1.2, 19.2.1 버전에서 제공되며, Next.js 사용자는 14.2.35에서 16.0.10까지 여러 릴리스 라인에서 업그레이드가 필요합니다.
공격의 확산과 대응
연구자들은 패치를 악용하려고 시도하는 과정에서 React Server Components에서 두 가지 새로운 취약점을 발견했다고 보고했습니다. 이는 심각한 CVE와는 별개의 새로운 문제입니다. React2Shell에 대한 패치는 원격 코드 실행 악용에 여전히 효과적이라고 연구자들은 밝혔습니다.
Vercel은 플랫폼의 프로젝트를 자동으로 보호하기 위해 웹 애플리케이션 방화벽(WAF) 규칙을 배포했지만, 회사는 WAF 보호만으로는 충분하지 않다고 강조했습니다. Vercel은 12월 3일 보안 게시물에서 패치된 버전으로 즉각적인 업그레이드가 필요하다고 언급하며, 이 취약점이 원격 코드 실행을 허용하는 방식으로 신뢰할 수 없는 입력을 처리하는 애플리케이션에 영향을 미친다고 덧붙였습니다.
공격자들의 전략
Google 위협 정보 그룹은 12월 3일 시작된 광범위한 공격을 문서화하며, 기회주의 해커부터 정부 지원 작전까지 범죄 집단을 추적하고 있습니다. 보고서에 따르면, 중국 해킹 그룹은 손상된 시스템에 다양한 유형의 악성 소프트웨어를 설치하며, 주로 Amazon Web Services와 Alibaba Cloud의 클라우드 서버를 목표로 하고 있습니다.
이러한 공격자들은 피해 시스템에 대한 장기적인 접근을 유지하기 위한 기술을 사용했다고 Google 위협 정보 그룹은 밝혔습니다. 일부 그룹은 원격 접근 터널을 생성하는 소프트웨어를 설치했으며, 다른 그룹은 합법적인 파일로 위장한 추가 악성 도구를 지속적으로 다운로드하는 프로그램을 배포했습니다.
결론 및 권장 사항
연구자들은 이 악성 소프트웨어가 시스템 폴더에 숨겨져 있으며, 탐지를 피하기 위해 자동으로 재시작한다고 보고했습니다. 재정적 동기를 가진 범죄자들은 12월 5일부터 공격 파동에 합류하여 피해자의 컴퓨팅 파워를 사용하여 Monero를 생성하는 암호화폐 채굴 소프트웨어를 설치했습니다. 이러한 채굴기는 백그라운드에서 지속적으로 실행되며, 전기 요금을 증가시키면서 공격자에게 수익을 창출합니다.
연구자들은 지하 해킹 포럼이 공격 도구와 악용 경험을 공유하는 논의로 빠르게 가득 차고 있다고 관찰했습니다. React 취약점은 9월 8일 해커들이 Josh Goldberg의 npm 계정을 침해하고 chalk, debug, strip-ansi를 포함한 18개의 널리 사용되는 패키지에 악성 업데이트를 게시한 공격에 이어 발생했습니다.
이 유틸리티들은 주간 다운로드 수가 26억 회를 초과하며, 연구자들은 브라우저 기능을 가로채어 합법적인 지갑 주소를 공격자가 제어하는 주소로 바꾸는 암호 클리퍼 악성 소프트웨어를 발견했습니다. Ledger의 CTO Charles Guillemet는 이 사건을 “대규모 공급망 공격”으로 설명하며, 하드웨어 지갑이 없는 사용자에게 온체인 거래를 피할 것을 권장했습니다.
공격자들은 npm 지원을 가장한 피싱 캠페인을 통해 접근 권한을 얻었으며, 9월 10일까지 이중 인증 자격 증명을 업데이트하지 않으면 계정이 잠길 것이라고 주장했다고 Guillemet은 밝혔습니다. 해커들은 암호화폐를 더 빠르게 훔치고 있으며, 한 세탁 과정이 단 2분 57초밖에 걸리지 않는다고 업계 데이터에 따르면 전해졌습니다.
글로벌 Ledger 데이터에 따르면 해커들은 2025년 상반기 동안 119건의 사건에서 30억 달러 이상을 훔쳤으며, 70%의 침해 사건에서 자금이 공개되기 전에 이동되었습니다. 도난 자산의 4.2%만 회수되었으며, 세탁 과정은 이제 몇 시간이 아닌 몇 초가 걸린다고 보고서에 명시되어 있습니다.
React 또는 Next.js를 사용하는 조직은 즉시 19.0.1, 19.1.2 또는 19.2.1 버전으로 패치하고, WAF 규칙을 배포하며, 모든 종속성을 감사하고, 웹 서버 프로세스에 의해 시작된 wget 또는 cURL 명령에 대한 네트워크 트래픽을 모니터링하며, 무단 숨겨진 디렉토리나 악성 셸 구성 주입을 탐색할 것을 권장합니다.
