block-chain24.com
Критическая уязвимость в компонентах React Server активно используется несколькими группами злоумышленников, подвергая риску тысячи веб-сайтов, включая криптовалютные платформы.
Уязвимость, отслеживаемая как CVE-2025-55182 и получившая прозвище React2Shell, позволяет злоумышленникам удаленно выполнять код на затронутых серверах без аутентификации. 3 декабря разработчики React сообщили об этой проблеме и присвоили ей максимально возможный уровень серьезности.
Вскоре после публикации GTIG обнаружил широко распространенную эксплуатацию уязвимостей как со стороны преступников, движимых финансовыми мотивами, так и со стороны предполагаемых хакерских групп, поддерживаемых государством, которые нацелены на незащищенные приложения React и Next.js в облачных средах.
Криптовалютные брейкеры, использующие React CVE-2025-55182
Наблюдается значительный рост числа брейкеров, загружаемых на легитимные (криптовалютные) веб-сайты с использованием уязвимости React CVE.
«Всем веб-сайтам следует немедленно проверить фронтенд-код на наличие подозрительных ресурсов», - заявила компания Security Alliance 13 декабря 2025 года.
Что делает уязвимость
Серверные компоненты React используются для выполнения частей веб-приложения непосредственно на сервере, а не в браузере пользователя. Уязвимость связана с тем, как React декодирует входящие запросы к этим серверным функциям.
Проще говоря, злоумышленники могут отправить специально сформированный веб-запрос, который обманом заставляет сервер выполнять произвольные команды или фактически передает управление системой злоумышленнику.
Уязвимость затрагивает версии React от 19.0 до 19.2.0, включая пакеты, используемые популярными фреймворками, такими как Next.js. Зачастую для эксплуатации достаточно просто установить уязвимые пакеты.
Как злоумышленники используют эту уязвимость
Группа Google по анализу угроз (GTIG) задокументировала множество активных кампаний, использующих эту уязвимость для распространения вредоносного ПО, бэкдоров и программного обеспечения для майнинга криптовалюты.
Некоторые злоумышленники начали использовать уязвимость в течение нескольких дней после ее обнаружения для установки программного обеспечения майнинга Monero. Эти атаки незаметно потребляют ресурсы серверов и электроэнергию, принося прибыль злоумышленникам и одновременно ухудшая производительность системы для жертв.
Криптовалютные платформы в значительной степени полагаются на такие современные фреймворки JavaScript, как React и Next.js, часто обрабатывая взаимодействие с кошельками, подписание транзакций и разрешение на одобрение через фронтенд-код.
Если веб-сайт скомпрометирован, злоумышленники могут внедрить вредоносные скрипты, которые перехватывают взаимодействие с кошельками или перенаправляют транзакции на собственные кошельки - даже если базовый протокол блокчейна остается безопасным.
Это делает уязвимости фронтенда особенно опасными для пользователей, которые подписывают транзакции через браузерные кошельки.