บัค RCE สำคัญใน React Server Components กำลังถูกใช้อาวุธเพื่อจี้เซิร์ฟเวอร์, ระบายกระเป๋าเงินคริปโต, ติดตั้ง Monero miners, และลึกซึ้งขึ้นในคลื่นการโจรกรรม $3B 2025 ทั้งที่มีการเรียกร้องให้แก้ไขด่วนแล้ว
สรุป
- Security Alliance และ Google TIG กล่าวว่าผู้โจมตีใช้ประโยชน์จาก CVE-2025-55182 ใน React Server Components เพื่อรันโค้ดตามต้องการ, ขโมยลายเซ็นต์อนุญาต, และระบายกระเป๋าเงินคริปโต
- Vercel, Meta, และทีมเฟรมเวิร์กเร่งออกแพทช์และกฎ WAF แต่จากการวิจัยพบข้อผิดพลาด RSC ใหม่สองรายการและเตือนความเสี่ยงของซัพพลายเชน JavaScript เช่นการแฮ็ก npm ของ Josh Goldberg ยังคงอยู่
- Global Ledger รายงานว่ามีการโจรกรรมมากกว่า $3B ใน 119 ครั้งในครึ่งแรกของปี 2025 โดยใช้สะพานและเหรียญความเป็นส่วนตัวเช่น Monero ในการล้างเงินภายในไม่กี่นาที และมีเพียง 4.2% เท่านั้นที่กู้คืนได้
ช่องโหว่ด้านความปลอดภัยสำคัญใน React Server Components ได้กระตุ้นให้เกิดคำเตือนเร่งด่วนในอุตสาหกรรมคริปโต เนื่องจากผู้ไม่หวังดีใช้ช่องโหว่เพื่อระบายกระเป๋าเงินและติดตั้งมัลแวร์ ตามรายงานของ Security Alliance
Security Alliance แจ้งว่าผู้โจมตีใช้ประโยชน์จาก CVE-2025-55182 อย่างจริงจัง เรียกร้องให้เว็บไซต์ทุกแห่งตรวจสอบโค้ดด้านหน้าอย่างเร่งด่วนเพื่อหาสินทรัพย์ที่น่าสงสัย ช่องโหว่นี้ส่งผลกระทบไม่เพียงแต่โปรโตคอล Web3 แต่รวมถึงเว็บไซต์ทุกแห่งที่ใช้ React ด้วย โดยผู้โจมตีมุ่งเป้าลายเซ็นต์อนุญาตในแพลตฟอร์มต่าง ๆ
ผู้ใช้เสี่ยงเมื่อเซ็นธุรกรรม เนื่องจากโค้ดอันตรายสามารถแทรกแซงการสื่อสารของกระเป๋าเงินและเปลี่ยนเส้นทางเงินไปยังที่อยู่ที่ผู้โจมตีควบคุม ตามนักวิจัยด้านความปลอดภัย
ทีมงานอย่างเป็นทางการของ React เปิดเผย CVE-2025-55182 เมื่อวันที่ 3 ธันวาคม โดยให้คะแนน CVSS 10.0 หลังจากรายงานของ Lachlan Davidson เมื่อวันที่ 29 พฤศจิกายน ผ่าน Meta Bug Bounty การโจมตีช่องโหว่การรันโค้ดระยะไกลนี้อาศัยวิธีการถอดรหัส payload ที่ส่งไปยัง Server Function endpoints ของ React ซึ่งอนุญาตให้ผู้โจมตีสร้างคำขอ HTTP อันตรายที่รันโค้ดตามต้องการบนเซิร์ฟเวอร์ ตามประกาศ
เวอร์ชันใหม่ของ React
ช่องโหว่นี้ส่งผลต่อ React เวอร์ชัน 19.0, 19.1.0, 19.1.1, และ 19.2.0 ในแพ็กเกจ react-server-dom-webpack, react-server-dom-parcel, และ react-server-dom-turbopack แนะนำให้เร่งอัปเดตเฟรมเวิร์กหลัก เช่น Next.js, React Router, Waku, และ Expo ตามคำแนะนำ
แพทช์ได้ออกในเวอร์ชัน 19.0.1, 19.1.2, และ 19.2.1 โดยผู้ใช้ Next.js ต้องอัปเกรดข้ามหลายเวอร์ชันตั้งแต่ 14.2.35 ถึง 16.0.10 ตามบันทึกการปล่อย
นักวิจัยพบข้อผิดพลาดใหม่สองรายการใน React Server Components ขณะพยายามใช้ประโยชน์จากแพทช์เหล่านี้ รายงานระบุว่านี่เป็นปัญหาใหม่แยกต่างหากจาก CVE สำคัญ การแก้ไขสำหรับ React2Shell ยังคงมีประสิทธิภาพสำหรับการโจมตี RCE นักวิจัยกล่าว
Vercel ใช้กฎ WAF เพื่อป้องกันโปรเจกต์บนแพลตฟอร์มของตนโดยอัตโนมัติ แต่บริษัทเน้นว่าการป้องกันด้วย WAF เพียงอย่างเดียวไม่เพียงพอ Vercel ระบุในประกาศความปลอดภัยเมื่อวันที่ 3 ธันวาคมว่า ช่องโหว่นี้ส่งผลต่อแอปพลิเคชันที่ประมวลผลข้อมูลที่ไม่น่าเชื่อถือในลักษณะที่อนุญาตให้รันโค้ดระยะไกล
Google Threat Intelligence Group บันทึกการโจมตีอย่างแพร่หลายเริ่มตั้งแต่วันที่ 3 ธันวาคม โดยติดตามกลุ่มอาชญากรตั้งแต่แฮกเกอร์ opportunistic ไปจนถึงปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาล กลุ่มแฮกชาวจีนติดตั้งมัลแวร์หลายประเภทบนระบบที่ถูกบุกรุก โดยเน้นเป้าหมายเซิร์ฟเวอร์คลาวด์บน Amazon Web Services และ Alibaba Cloud ตามรายงาน
ผู้โจมตีเหล่านี้ใช้เทคนิคเพื่อรักษาการเข้าถึงระยะยาวของระบบเหยื่อ ตามรายงานของ Google Threat Intelligence Group บางกลุ่มติดตั้งซอฟต์แวร์สร้างอุโมงค์เข้าถึงระยะไกล ขณะที่กลุ่มอื่นติดตั้งโปรแกรมที่ดาวน์โหลดเครื่องมืออันตรายเพิ่มเติมอย่างต่อเนื่องซ่อนอยู่ในไฟล์ที่ดูเหมือนถูกต้อง มัลแวร์ซ่อนอยู่ในโฟลเดอร์ระบบและรีสตาร์ทอัตโนมัติเพื่อหลีกเลี่ยงการตรวจจับ นักวิจัยรายงาน
อาชญากรที่มีแรงจูงใจด้านการเงินเข้าร่วมคลื่นการโจมตีตั้งแต่วันที่ 5 ธันวาคม โดยติดตั้งซอฟต์แวร์ขุดคริปโตที่ใช้พลังคอมพิวเตอร์ของเหยื่อเพื่อสร้าง Monero miners ซึ่งทำงานตลอดเวลาในพื้นหลัง เพิ่มค่าไฟฟ้าและสร้างกำไรให้กับผู้โจมตี ฟอรัมแฮกเกอร์ใต้ดินเต็มไปด้วยการสนทนาเกี่ยวกับเครื่องมือโจมตีและประสบการณ์การใช้ประโยชน์ นักวิจัยสังเกต
ช่องโหว่ React นี้เกิดขึ้นหลังจากการโจมตีเมื่อวันที่ 8 กันยายน ซึ่งแฮกเกอร์แฮกบัญชี npm ของ Josh Goldberg และเผยแพร่การอัปเดตอันตรายไปยังแพ็กเกจที่ใช้งานกันอย่างแพร่หลาย 18 รายการ รวมถึง chalk, debug, และ strip-ansi ซึ่งเครื่องมือต่าง ๆ เหล่านี้มีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์ นักวิจัยพบมัลแวร์ crypto-clipper ที่แทรกแซงฟังก์ชันเบราว์เซอร์เพื่อสลับที่อยู่กระเป๋าเงินที่ถูกต้องกับของผู้โจมตี
CTO ของ Ledger Charles Guillemet อธิบายเหตุการณ์นี้ว่าเป็น “การโจมตีซัพพลายเชนในระดับใหญ่” แนะนำให้ผู้ใช้ที่ไม่มีฮาร์ดแวร์วอลเล็ตหลีกเลี่ยงธุรกรรมบนเชน ผู้โจมตีเข้าถึงผ่านแคมเปญฟิชชิ่งที่แอบอ้างเป็นฝ่ายสนับสนุน npm โดยอ้างว่าสมาชิกจะถูกล็อกเว้นแต่จะอัปเดตข้อมูลรับรองสองปัจจัยภายในวันที่ 10 กันยายน Guillemet
แฮกเกอร์กำลังขโมยคริปโตและโอนย้ายเร็วขึ้น โดยกระบวนการล้างเงินเพียง 2 นาที 57 วินาทีเท่านั้น ตามข้อมูลอุตสาหกรรม
ข้อมูลจาก Global Ledger แสดงให้เห็นว่าผู้โจมตีขโมยเงินมากกว่า $3 พันล้านใน 119 เหตุการณ์ในครึ่งแรกของปี 2025 โดย 70% ของการละเมิดข้อมูลมีการโอนเงินก่อนที่จะเปิดเผยต่อสาธารณะ และมีเพียง 4.2% ของทรัพย์สินที่ถูกโจรกรรมเท่านั้นที่กู้คืนได้ เนื่องจากการล้างเงินตอนนี้ใช้เวลาเพียงไม่กี่วินาทีแทนที่จะเป็นชั่วโมง ตามรายงาน
องค์กรที่ใช้ React หรือ Next.js ควรอัปเดตเป็นเวอร์ชัน 19.0.1, 19.1.2, หรือ 19.2.1 ทันที ติดตั้งกฎ WAF ตรวจสอบ dependencies ทั้งหมด เฝ้าระวังการจราจรเครือข่ายสำหรับคำสั่ง wget หรือ cURL ที่เริ่มโดยกระบวนการเว็บเซิร์ฟเวอร์ และค้นหาไดเรกทอรีลับหรือการฉีดสคริปต์ shell ที่เป็นอันตราย ตามคำแนะนำด้านความปลอดภัย
