Критическая уязвимость удалённого выполнения кода (RCE) в React Server Components (CVE-2025-55182) активно используется злоумышленниками для атак на криптовалютные платформы. Эксплойт позволяет выполнять произвольный код на серверах, перехватывать подписи транзакций (permit signatures) и полностью опустошать цифровые кошельки пользователей.
Уязвимость была официально раскрыта командой React 3 декабря 2025 года с максимальным рейтингом опасности CVSS 10.0. Она затрагивает версии React 19.0, 19.1.0, 19.1.1 и 19.2.0 в пакетах react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Затронуты все основные фреймворки, включая Next.js, React Router, Waku и Expo.
Патчи были выпущены в версиях 19.0.1, 19.1.2 и 19.2.1. Пользователям Next.js необходимо обновить несколько линий релизов с 14.2.35 по 16.0.10. Компания Vercel развернула правила Web Application Firewall (WAF) для автоматической защиты проектов на своей платформе, но подчеркнула, что одного WAF недостаточно и требуется немедленное обновление.
Атаки носят массовый и скоординированный характер. По данным Google Threat Intelligence Group, с 3 декабря активность проявляют различные группы — от оппортунистических хакеров до государственных. Китайские хакерские группы устанавливают на скомпрометированные системы различное вредоносное ПО, в первую очередь нацеливаясь на облачные серверы Amazon Web Services и Alibaba Cloud.
С 5 декабря к атакам подключились финансово мотивированные преступники, устанавливающие майнеры Monero (XMR), которые используют вычислительные мощности жертв для скрытого майнинга, увеличивая их расходы на электроэнергию.
Исследователи обнаружили две новые уязвимости в React Server Components при попытке протестировать выпущенные патчи. Это отдельные проблемы, не связанные с CVE-2025-55182.
Инцидент стал частью тревожной тенденции. Он следует за масштабной атакой на цепочку поставок 8 сентября, когда хакеры скомпрометировали аккаунт разработчика npm Джоша Голдберга и опубликовали вредоносные обновления для 18 популярных пакетов, включая chalk, debug и strip-ansi, которые суммарно скачиваются более 2,6 млрд раз в неделю. В этих пакетах был обнаружен криптоклиппер, подменяющий адреса кошельков.
По данным Global Ledger, в первой половине 2025 года хакеры похитили более $3 млрд в результате 119 инцидентов. 70% краж происходят до того, как о них становится известно публике, а на отмывание средств теперь уходят секунды, а не часы. В одном задокументированном случае процесс отмывания занял всего 2 минуты 57 секунд. Удаётся вернуть лишь 4,2% похищенных активов.
Эксперты настоятельно рекомендуют всем организациям, использующим React или Next.js, немедленно установить патчи, развернуть правила WAF, провести аудит всех зависимостей, мониторить сетевой трафик на предмет подозрительных команд (wget, cURL) и искать несанкционированные скрытые директории.
