React漏洞被黑客利用,加密货币网站遭遇JavaScript窃取程序攻击潮
近期,一类针对加密货币用户的前端攻击正在快速蔓延。据网络安全非营利组织安全联盟(SEAL)披露,黑客正利用开源前端 JavaScript 库 React 中的新发现漏洞,在合法网站中植入加密货币窃取程序,相关攻击案例显著增加。
React 是当前最主流的 Web 前端框架之一,被广泛用于构建各类网站和 Web 应用。12 月 3 日,React 官方披露,由白帽黑客 Lachlan Davidson 发现了一个严重安全漏洞,编号为 CVE-2025-55182。该漏洞允许未经身份验证的远程代码执行,攻击者可借此在网站前端注入并运行恶意代码。
SEAL 指出,攻击者正通过该漏洞,秘密向加密货币相关网站添加钱包窃取程序。这些恶意脚本通常伪装成正常的前端组件或资源,在用户毫无察觉的情况下运行,诱导用户签署恶意交易,从而直接盗取钱包资产。常见手段包括虚假奖励弹窗、钓鱼授权请求等。
值得注意的是,SEAL 强调,此次攻击并不仅限于 Web3 或 DeFi 项目,任何使用受影响 React 组件的网站都存在风险。普通用户在连接钱包、签署任何链上授权或交易时,都应保持高度警惕,仔细核对收款地址和签名内容。
对于网站运营方,SEAL 建议立即进行全面排查,包括扫描服务器是否存在 CVE-2025-55182 漏洞,检查前端代码是否从未知主机加载资源,识别是否存在混淆的 JavaScript 脚本,以及核实钱包签名请求中显示的收款人信息是否异常。部分受影响网站可能会在未明确原因的情况下被浏览器或安全服务标记为钓鱼页面。
React 官方已于 12 月 3 日发布漏洞修复补丁,并建议所有使用 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 的项目立即升级。官方同时说明,未使用 React 服务器组件的应用不受此次漏洞影响。
在当前加密安全形势趋紧的背景下,此类前端供应链攻击再次提醒行业,Web 安全已成为加密生态中不可忽视的系统性风险。(Cointelegraph)