黑客利用 React 漏洞植入加密货币消耗器，网络攻击激增

世界上使用最广泛的 JavaScript 库之一 React 中的一个关键漏洞正被黑客积极利用，将加密货币消耗恶意软件注入合法网站，这一事态发展令网络安全专家和 Web3 团队感到震惊。

据网络安全非营利组织安全联盟 (SEAL) 称，攻击者正在滥用该漏洞，悄悄地从毫无戒心的用户那里窃取数字资产，将可信平台变成隐藏的攻击载体。该漏洞被追踪为 CVE-2025-55182，可实现未经验证的远程代码执行，允许恶意行为者在未经许可的情况下上传和运行任意代码。

该问题最初由白帽黑客 Lachlan Davidson 发现，他在本月早些时候负责任地向 React 开发团队披露了该缺陷。

SEAL 表示，它观察到与利用 React 缺陷直接相关的钱包流失攻击急剧增加，恶意脚本被注入到加密本机和非加密网站中。

该非营利组织在一份公开警告中敦促用户立即采取行动，并指出攻击者正积极瞄准前端基础架构，以便在交易签署阶段对用户造成威胁。任何运行易受攻击的 React 配置的网站都可能受到影响，这使得该漏洞成为一个更广泛的 Web 安全问题，而不是一个小众的加密问题。

我们敦促用户在签署任何钱包许可请求时提高警惕，因为攻击者通常会依靠欺骗性的弹出窗口或虚假的奖励提示来诱骗受害者授权恶意交易。

警告标志和即时安全检查

根据 SEAL 的说法，网站突然被浏览器或安全工具标记为潜在的网络钓鱼风险，这是网站受到攻击的最早迹象之一。

为降低风险，SEAL 建议网站运营商立即扫描其系统，查找 CVE-2025-55182 被利用的迹象，仔细检查前端代码中是否存在不熟悉或混淆的 JavaScript 资产，并验证钱包签名提示是否显示了正确的收件人地址。

该组织还提醒用户不要在确认所有恶意代码已完全消除之前尝试删除网络钓鱼警告，因为这样做可能会使用户面临持续的风险。

React 开发团队于 12 月 3 日发布了一个官方补丁，以解决受影响组件中存在的漏洞。我们强烈敦促使用 react-server-dom-webpack、react-server-dom-parcel 或 react-server-dom-turbopack 的开发人员立即升级，以关闭攻击向量。

React 明确指出，未使用服务器端 React 组件或兼容捆绑程序插件的应用程序不会受到影响。

React 澄清说，未使用服务器端 React 组件或兼容捆绑插件的应用程序不会受到影响。但是，依赖于 React 服务器组件的项目在应用更新之前仍然存在漏洞，这促使整个生态系统呼吁采取紧急补救措施。

有关供应链安全的更广泛提醒

该漏洞突出了一个日益增长的趋势，即攻击者利用软件供应链漏洞来快速、悄无声息地扩大攻击规模。

随着加密泄密者变得越来越复杂和难以检测，安全专家强调了主动审计、定期依赖性更新和严格的前端监控的重要性，这不仅对于加密平台，而且对于所有基于 Web 的服务都是如此。

正如 SEAL 所警告的那样，传统 Web 安全和加密安全之间的界限不断模糊，这使得在堆栈的每一层都保持警惕比以往任何时候都更为重要。