React Server Componentsの重大な脆弱性
React Server Componentsに存在する重大なリモートコード実行(RCE)バグが悪用され、サーバーがハイジャックされ、暗号通貨ウォレットが空にされ、Moneroマイナーが植え付けられる事態が発生しています。この攻撃は、2025年における30億ドルの盗難波を深刻化させるものです。
セキュリティ警告と影響
Security Allianceによると、React Server Componentsのこの重大なセキュリティ脆弱性は、暗号通貨業界全体に緊急警告を促しており、脅威アクターがこの欠陥を利用してウォレットを空にし、マルウェアを展開しています。
Security Allianceは、暗号通貨を狙う攻撃者がCVE-2025-55182を積極的に武器化していると発表し、すべてのウェブサイトに対して疑わしい資産についてフロントエンドコードを直ちに確認するよう呼びかけています。この脆弱性はWeb3プロトコルだけでなく、Reactを使用するすべてのウェブサイトに影響を及ぼし、攻撃者はプラットフォーム全体で許可署名を狙っています。
脆弱性の詳細と影響を受けるパッケージ
Reactの公式チームは、12月3日にCVE-2025-55182を開示し、Lachlan Davidsonの11月29日の報告に基づいてCVSS 10.0と評価しました。この認証されていないリモートコード実行脆弱性は、Reactがサーバー関数エンドポイントに送信されたペイロードをデコードする方法を悪用し、攻撃者がサーバー上で任意のコードを実行する悪意のあるHTTPリクエストを作成できるようにします。
欠陥は、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackパッケージのReactバージョン19.0、19.1.0、19.1.1、19.2.0に影響を与えます。Next.js、React Router、Waku、Expoなどの主要なフレームワークは、直ちにアップデートが必要であるとアドバイザリーは述べています。
攻撃の進行と対策
研究者たちは、パッチを悪用しようとする中でReact Server Componentsに新たな2つの脆弱性を発見したと報告しています。これらは重大なCVEとは別の新しい問題です。研究者たちは、React2Shellのパッチはリモートコード実行の脆弱性に対して効果的であると述べています。
Vercelは、プラットフォーム上のプロジェクトを自動的に保護するためにWebアプリケーションファイアウォールルールを展開しましたが、同社はWAF保護だけでは不十分であることを強調しています。Vercelは12月3日のセキュリティ速報で、パッチされたバージョンへの即時アップグレードが必要であると述べ、脆弱性はリモートコード実行を許可する方法で信頼できない入力を処理するアプリケーションに影響を与えると付け加えました。
攻撃者の手法と影響
Googleの脅威インテリジェンスグループは、12月3日から広範な攻撃が始まったことを記録し、機会を狙ったハッカーから政府支援の作戦までの犯罪グループを追跡しています。
報告によると、中国のハッキンググループは、主にAmazon Web ServicesとAlibaba Cloudのクラウドサーバーを狙って、侵害されたシステムにさまざまなマルウェアをインストールしました。これらの攻撃者は、被害者のシステムへの長期的なアクセスを維持するための手法を採用したとGoogleの脅威インテリジェンスグループは述べています。
経済的動機とマネーロンダリング
経済的動機を持つ犯罪者は、12月5日から攻撃波に参加し、被害者のコンピュータパワーを利用してMoneroを生成する暗号マイニングソフトウェアをインストールしたとセキュリティ研究者は述べています。これらのマイナーはバックグラウンドで常に動作し、電気代を押し上げながら攻撃者に利益をもたらします。
地下ハッキングフォーラムは、攻撃ツールや悪用経験を共有する議論で急速に埋まったと研究者たちは観察しています。Reactの脆弱性は、9月8日の攻撃に続くもので、ハッカーがJosh Goldbergのnpmアカウントを侵害し、chalk、debug、strip-ansiを含む18の広く使用されているパッケージに悪意のある更新を公開しました。
結論と推奨事項
ReactまたはNext.jsを使用している組織は、直ちにバージョン19.0.1、19.1.2、または19.2.1にパッチを適用し、WAFルールを展開し、すべての依存関係を監査し、ウェブサーバープロセスによって開始されたwgetまたはcURLコマンドのネットワークトラフィックを監視し、無許可の隠しディレクトリや悪意のあるシェル構成の注入を探すようにセキュリティアドバイザリーは推奨しています。
