Novo bug do React que pode esgotar todos os seus tokens está afetando 'milhares de' sites

A vulnerabilidade crítica em React Server Components está sendo ativamente explorado por múltiplos grupos de ameaça, colocando milhares de sites — incluindo plataformas de criptomoedas — em risco imediato, com usuários possivelmente vendo todos os seus ativos drenados, caso sejam afetados.

A vulnerabilidade, identificada como CVE-2025-55182 e denominada React2Shell, permite que atacantes executem código remotamente em servidores afetados sem autenticação. Os mantenedores do React divulgaram a questão em 3 de dezembro e atribuíram a ela a pontuação de severidade máxima possível.

Logo após a divulgação, a GTIG observou uma exploração generalizada tanto por criminosos motivados financeiramente quanto por grupos de hackers supostamente apoiados por estados, visando aplicações React e Next.js não atualizadas em ambientes de nuvem.

O que a vulnerabilidade faz

Componentes de Servidor React são usados para executar partes de uma aplicação web diretamente em um servidor, em vez de no navegador do usuário. A vulnerabilidade decorre da forma como o React decodifica as solicitações recebidas para essas funções do lado do servidor.

Em termos simples, os atacantes podem enviar uma solicitação web especialmente elaborada que engana o servidor a executar comandos arbitrários, ou efetivamente entregar o controle do sistema ao atacante.

O erro afeta as versões do React de 19.0 a 19.2.0, incluindo pacotes utilizados por frameworks populares como o Next.js. Apenas ter os pacotes vulneráveis instalados já é frequentemente suficiente para permitir a exploração.

Como os atacantes estão utilizando isso

O Grupo de Inteligência de Ameaças do Google (GTIG) documentou múltiplas campanhas ativas utilizando a vulnerabilidade para implantar malware, backdoors e software de mineração de criptomoedas.

Alguns atacantes começaram a explorar a falha poucos dias após a divulgação para instalar softwares de mineração de Monero. Esses ataques consomem silenciosamente os recursos do servidor e energia elétrica, gerando lucros para os atacantes enquanto degradam o desempenho do sistema para as vítimas.

As plataformas de criptomoedas dependem fortemente de frameworks modernos de JavaScript, como React e Next.js, frequentemente lidando com interações de carteiras, assinatura de transações e aprovações de permissões por meio de código front-end.

Se um site for comprometido, atacantes podem inserir scripts maliciosos que interceptam interações com carteiras ou redirecionam transações para suas próprias carteiras— mesmo que o protocolo subjacente da blockchain permaneça seguro.

Isso torna as vulnerabilidades no front-end particularmente perigosas para os usuários que assinam transações por meio de carteiras de navegador.