去中心化金融新聞：安全組織警告，黑客利用 React 漏洞注入加密錢包竊取程序

網絡安全專家警告稱，隨着一種新披露的漏洞在流行的 JavaScript 庫 React 中被發現，越來越多的加密錢包盜取者正悄然注入到合法網站中。根據非營利組織安全聯盟（SEAL）的説法，攻擊者正在積極利用 React 中的一個關鍵漏洞，植入惡意代碼，能夠盜取用户的加密錢包——通常網站所有者並未意識到任何問題。React 漏洞允許遠程代碼執行該問題被追蹤為 CVE-2025-55182，React 團隊在白帽研究員 Lachlan Davidson 識別該漏洞後，於 12 月 3 日披露。該漏洞允許未經身份驗證的遠程代碼執行，這意味着攻擊者可以在受影響的網站上注入並運行任意代碼。React 是全球使用最廣泛的前端框架之一，支持數百萬個網絡應用程序——包括許多加密平台、去中心化金融（DeFi）應用和 NFT 網站。SEAL 表示，惡意行為者現在正在利用這一漏洞，將盜取錢包的腳本注入到本應合法的加密網站中。“我們觀察到，通過利用最近的 React CVE，上傳到合法加密網站的盜取者數量大幅增加，” SEAL 團隊表示。“所有網站現在都應該審查前端代碼，查找任何可疑資產。” 不僅僅是 Web3：所有網站都面臨風險雖然加密平台由於財務利益而成為主要目標，但 SEAL 強調，這並不限於 Web3 項目。任何運行易受攻擊的 React 服務器組件的網站都可能被攻陷，使用户面臨惡意彈出窗口或簽名請求，這些請求旨在欺騙他們批准交易，從而盜取他們的錢包。用户在簽署任何許可或錢包批准時，即使是在他們信任的網站上，也被敦促保持極端謹慎。警告信號：釣魚警告和模糊代碼 SEAL 指出，一些受影響的網站可能會突然收到來自瀏覽器或錢包提供商的釣魚警告，而沒有明確的原因。這可能是隱藏的盜取者代碼被注入的信號。網站運營商被建議：掃描服務器以查找 CVE-2025-55182 檢查前端代碼是否從未知域加載資產查找腳本中的模糊 JavaScript 驗證錢包簽名請求是否顯示正確的接收地址 “如果您的項目被阻止，這可能就是原因，” SEAL 表示，敦促開發者在申訴釣魚警告之前審查他們的代碼。React 發佈修復，敦促立即升級 React 團隊已經發布了補丁，並強烈建議開發者立即升級，如果他們使用以下任何包：react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopackReact 澄清稱，未使用 React 服務器組件或服務器端 React 代碼的應用程序不受此漏洞影響，Cointelegraph 報道。