모든 토큰을 소진시킬 수 있는 새로운 React 버그가 '수천 개'의 웹사이트에 영향을 미치고 있습니다

A 치명적 취약점 React 서버 컴포넌트의 취약점이 여러 위협 그룹에 의해 적극적으로 악용되고 있어, 수천 개의 웹사이트 — 암호화폐 플랫폼을 포함하여 — 가 즉각적인 위험에 처해 있습니다. 피해를 입을 경우 사용자는 모든 자산이 탈취되는 상황을 겪을 수 있습니다.

해당 결함은 CVE-2025-55182로 추적되고 있으며, 별칭은 React2Shell, 공격자가 인증 없이 영향을 받는 서버에서 원격으로 코드를 실행할 수 있도록 허용합니다. React 유지보수팀은 12월 3일 이 문제를 공개했으며 최고 수준의 심각도 점수를 부여했습니다.

공개 직후, GTIG는 금융 목적으로 움직이는 범죄자들과 국가 지원 해킹 그룹으로 의심되는 세력들이 패치되지 않은 React 및 Next.js 애플리케이션을 클라우드 환경 전반에서 광범위하게 악용하는 현상을 관찰했다.

취약점의 기능

React 서버 컴포넌트는 웹 애플리케이션의 일부를 사용자의 브라우저가 아닌 서버에서 직접 실행하는 데 사용됩니다. 이 취약점은 React가 이러한 서버 측 함수에 대한 수신 요청을 디코딩하는 방식에서 비롯됩니다.

간단히 말해, 공격자는 서버가 임의의 명령을 실행하도록 속이거나, 사실상 시스템 제어권을 공격자에게 넘기도록 하는 특수하게 조작된 웹 요청을 보낼 수 있습니다.

이 버그는 React 19.0부터 19.2.0 버전까지 영향을 미치며, Next.js와 같은 인기 프레임워크에서 사용하는 패키지를 포함합니다. 취약한 패키지가 설치되어 있는 것만으로도 악용이 가능한 경우가 많습니다.

공격자들이 이를 활용하는 방식

구글 위협 인텔리전스 그룹(GTIG)은 이 결함을 이용해 악성 소프트웨어, 백도어 및 암호화폐 채굴 소프트웨어를 배포하는 다수의 활성 캠페인을 문서화했습니다.

일부 공격자들은 취약점 공개 직후 수일 내에 이를 악용하여 모네로 채굴 소프트웨어를 설치하기 시작했습니다. 이러한 공격은 조용히 서버 자원과 전력을 소모하며, 시스템 성능 저하를 초래하는 동시에 공격자들에게 이익을 창출합니다.

암호화폐 플랫폼은 React 및 Next.js와 같은 최신 자바스크립트 프레임워크에 크게 의존하며, 종종 지갑 상호작용, 거래 서명 및 권한 승인 등을 프론트엔드 코드로 처리합니다.

웹사이트가 침해될 경우, 공격자는 지갑 상호작용을 가로채거나 거래를 자신의 지갑으로 전환하는 악성 스크립트를 주입할 수 있습니다—기본 블록체인 프로토콜이 안전하더라도 마찬가지입니다.

이로 인해 브라우저 지갑을 통해 거래를 서명하는 사용자에게 프론트엔드 취약점은 특히 위험합니다.