据网络安全非营利组织Security Alliance(SEAL)称,最近通过开源前端JavaScript库React中的一个漏洞,将加密钱包抽取程序上传到网站的情况有所上升。
React用于构建用户界面,尤其是Web应用。React团队于12月3日披露称,一名白帽黑客Lachlan Davidson发现其软件存在允许未认证远程代码执行的安全漏洞,攻击者可借此插入并运行自己的代码。
据Security Alliance(SEAL)称,不法分子一直利用该漏洞CVE-2025-55182,将抽取钱包资金的代码偷偷加入加密网站。
SEAL团队称:“我们观察到,利用近期React相关CVE将drainer上传至合法的加密网站的情况大幅增加。所有网站现在都应检查前端代码中是否存在可疑资源。”
“该攻击不仅针对Web3协议!所有网站都面临风险。用户在签署任何permit签名时都应保持警惕。”
钱包抽取程序通常通过诸如伪造奖励弹窗等方式诱导用户签署一笔交易。
带有钓鱼警告的网站应检查代码
据SEAL团队称,受影响的网站可能在没有任何解释的情况下被突然标记为潜在钓鱼风险。他们建议网站托管方采取预防措施,确保不存在可能危及用户的隐藏drainer。
他们表示:“扫描主机是否存在CVE-2025-55182。检查你的前端代码是否突然从你不认识的主机加载资产。检查你的前端代码加载的任何脚本是否为混淆的JavaScript。核对钱包在签名请求中显示的收款方是否正确。”
SEAL团队补充称:“如果你的项目被拦截,这可能就是原因。请在申请移除钓鱼页面警告之前先审查你的代码。”
React已发布该漏洞修复
React团队已于12月3日发布针对CVE-2025-55182的修复,并建议使用react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack的所有人立即升级以关闭漏洞。
该团队补充称:“如果你的应用中React代码不使用服务器,那么你的应用不受此漏洞影响。如果你的应用未使用支持React服务器组件的框架、打包器或打包器插件,那么你的应用不受此漏洞影响。”
