Новая ошибка в React, которая может вывести из вашего доступа все токены, влияет на «тысячи» веб-сайтов

A критическая уязвимость в React Server Components активно эксплуатируется несколькими группами угроз, ставя под непосредственную угрозу тысячи веб-сайтов — включая криптоплатформы — с риском для пользователей увидеть полное исчерпание всех своих активов в случае воздействия.

Уязвимость, отслеживаемая под номером CVE-2025-55182 и получившая прозвище React2Shell, позволяет злоумышленникам выполнять удалённое выполнение кода на затронутых серверах без аутентификации. Разработчики React сообщили об этой проблеме 3 декабря и присвоили ей максимальную оценку по уровню серьёзности.

Вскоре после раскрытия информации GTIG зафиксировала широкомасштабные атаки со стороны как финансово мотивированных преступников, так и предполагаемых хакерских групп, связанных с государственными структурами, на уязвимые React и Next.js приложения в облачных средах.

Что делает уязвимость

React Server Components используются для запуска частей веб-приложения непосредственно на сервере, а не в браузере пользователя. Уязвимость возникает из-за того, как React декодирует входящие запросы к этим серверным функциям.

Проще говоря, злоумышленники могут отправить специально сформированный веб-запрос, который вводит сервер в заблуждение и заставляет его выполнять произвольные команды, фактически передавая контроль над системой атакующему.

Ошибка затрагивает версии React с 19.0 по 19.2.0, включая пакеты, используемые популярными фреймворками, такими как Next.js. Наличие уязвимых пакетов, как правило, достаточно для возможности эксплуатации.

Как злоумышленники используют это

Группа Google по анализу угроз (GTIG) задокументировала несколько активных кампаний, использующих уязвимость для распространения вредоносного ПО, бэкдоров и программ для криптомайнинга.

Некоторые злоумышленники начали эксплуатировать уязвимость в течение нескольких дней после ее раскрытия для установки программного обеспечения майнинга Monero. Эти атаки незаметно потребляют ресурсы серверов и электроэнергию, принося прибыль нападателям и ухудшая производительность систем у жертв.

Криптоплатформы во многом зависят от современных JavaScript-фреймворков, таких как React и Next.js, часто обрабатывая взаимодействия с кошельками, подпись транзакций и одобрение разрешений через фронтенд-код.

Если веб-сайт скомпрометирован, злоумышленники могут внедрить вредоносные скрипты, которые перехватывают взаимодействия с кошельками или перенаправляют транзакции на свои собственные кошельки — даже если базовый протокол блокчейна остается защищённым.

Это делает уязвимости фронт-энда особенно опасными для пользователей, которые подписывают транзакции через браузерные кошельки.