去中心化金融新闻：安全组织警告，黑客利用 React 漏洞注入加密钱包窃取程序

网络安全专家警告称，随着一种新披露的漏洞在流行的 JavaScript 库 React 中被发现，越来越多的加密钱包盗取者正悄然注入到合法网站中。根据非营利组织安全联盟（SEAL）的说法，攻击者正在积极利用 React 中的一个关键漏洞，植入恶意代码，能够盗取用户的加密钱包——通常网站所有者并未意识到任何问题。React 漏洞允许远程代码执行该问题被追踪为 CVE-2025-55182，React 团队在白帽研究员 Lachlan Davidson 识别该漏洞后，于 12 月 3 日披露。该漏洞允许未经身份验证的远程代码执行，这意味着攻击者可以在受影响的网站上注入并运行任意代码。React 是全球使用最广泛的前端框架之一，支持数百万个网络应用程序——包括许多加密平台、去中心化金融（DeFi）应用和 NFT 网站。SEAL 表示，恶意行为者现在正在利用这一漏洞，将盗取钱包的脚本注入到本应合法的加密网站中。“我们观察到，通过利用最近的 React CVE，上传到合法加密网站的盗取者数量大幅增加，” SEAL 团队表示。“所有网站现在都应该审查前端代码，查找任何可疑资产。” 不仅仅是 Web3：所有网站都面临风险虽然加密平台由于财务利益而成为主要目标，但 SEAL 强调，这并不限于 Web3 项目。任何运行易受攻击的 React 服务器组件的网站都可能被攻陷，使用户面临恶意弹出窗口或签名请求，这些请求旨在欺骗他们批准交易，从而盗取他们的钱包。用户在签署任何许可或钱包批准时，即使是在他们信任的网站上，也被敦促保持极端谨慎。警告信号：钓鱼警告和模糊代码 SEAL 指出，一些受影响的网站可能会突然收到来自浏览器或钱包提供商的钓鱼警告，而没有明确的原因。这可能是隐藏的盗取者代码被注入的信号。网站运营商被建议：扫描服务器以查找 CVE-2025-55182 检查前端代码是否从未知域加载资产查找脚本中的模糊 JavaScript 验证钱包签名请求是否显示正确的接收地址 “如果您的项目被阻止，这可能就是原因，” SEAL 表示，敦促开发者在申诉钓鱼警告之前审查他们的代码。React 发布修复，敦促立即升级 React 团队已经发布了补丁，并强烈建议开发者立即升级，如果他们使用以下任何包：react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopackReact 澄清称，未使用 React 服务器组件或服务器端 React 代码的应用程序不受此漏洞影响，Cointelegraph 报道。