اختراق مؤثر لأكواد مكتبة جافاسكريبت (JavaScript) يُعرّض جميع مواقع الكريبتو للخطر

أدّت ثغرةٌ أمنيةٌ مؤثرة في مكونات مكتبة React Server Components إلى إطلاق تحذيراتٍ عاجلةٍ عبر أوساط قطاع الكريبتو، بعد أن سارع المهاجمون إلى استغلالها لاستنزاف أرصدة المَحافظ الرقمية ونشر برمجياتٍ خبيثة.

فقد أعلن تحالف الأمن (Security Alliance) أنّ المهاجمين يستغلون ثغرة CVE-2025-55182 بشكلٍ مكثف، وحثّ جميع مشغلي المواقع الإلكترونية على مراجعة أكواد واجهات الاستخدام الأمامية فوراً بحثاً عن أي مخلفاتٍ برمجيةٍ مشبوهة.

بالإضافة إلى ذلك، يبدو أنّ تأثير هذه الثغرة لا يقتصر على بروتوكولات الويب الثالث (Web3) فحسب، بل يمتد ليشمل جميع المواقع الإلكترونية التي تستخدم مكتبة React، حيث يستهدف المهاجمون توقيعات الأذونات عبر مختلف المنصات، ما يُعرّض المستخدمين لمخاطرَ مباشرة عند توقيع أي معاملة، إذ تعترض البرمجيات الخبيثة اتصالات المَحافظ الرقمية وتحوّل الأرصدة إلى عناوين محافظ تابعةٍ للمُخترقين.

Crypto Drainers using React CVE-2025-55182

We are observing a big uptick in drainers uploaded to legitimate (crypto) websites through exploitation of the recent React CVE.

All websites should review front-end code for any suspicious assets NOW.

— Security Alliance (@_SEAL_Org) December 13, 2025

ثغرة أمنية خطيرة تسمح بتنفيذ تعليمات برمجية خبيثة عن بُعد

كشف فريق React الرسمي عن ثغرة CVE-2025-55182 في 3 كانون الأول/ديسمبر، وصنّفها CVSS 10.0 بعد تقرير لاكلان ديفيدسون (Lachlan Davidson) الصادر في 29 تشرين الثاني/نوفمبر عبر منصة Meta Bug Bounty.

وتستغل هذه الثغرة الأمنية -التي تسمح بتنفيذ تعليماتٍ برمجية خبيثةٍ عن بُعد دون تحقق- آليةَ فك تشفير React للبيانات المُرسلة إلى واجهة وظائف الخادم النهائية، ما يُمكّن المُهاجمين من إنشاء طلبات HTTP خبيثةٍ لتبديل التعليمات البرمجية عبر الخوادم.

يُذكر أن هذه الثغرة طالت إصدارات React 19.0 و19.1.0 و19.1.1 و19.2.0 ضمن حزم react-server-dom-webpack وreact-server-dom-parcel وreact-server-dom-turbopack.

بالتالي، تتطلب الأطُرُ البرمجية الرئيسية لمواقع الويب -بما فيها Next.js وReact Router وWaku وExpo- تحديثاتٍ فورية بعد توفر الإصلاحات في الإصدارات 19.0.1 و19.1.2 و19.2.1، ما استدعى من مُستخدمي Next.js التحديث عبر الإصدارات المتراوحة من 14.2.35 إلى 16.0.10.

وممّا يستدعي الأسف، فقد اكتشف الباحثون مُجدداً زوجاً جديداً من الثغرات الأمنية.

Researchers have found two new vulnerabilities in React Server Components while attempting to exploit the patches last week.

These are new issues, separate from the critical CVE last week. The patch for React2Shell remains effective for the Remote Code Execution exploit.

— React (@reactjs) December 11, 2025

ودعا ذلك شركة Vercel إلى تطبيق قواعد جدار حماية تطبيقات الويب لحماية المشاريع على منصتها تلقائياً، على الرغم من تأكيدها أن ميزة جدار الحماية وحدَها لا تبدو كافية.

وأوضحت Vercel في نشرتها الأمنية الصادرة بتاريخ 3 كانون الأول/ديسمبر ذلك بقولها: “الانتقال الفوري إلى إصدارٍ مُحدّث بات ضرورياً“، مضيفة أن الثغرة الأمنية تؤثر على التطبيقات التي تُعالج مُدخلاتٍ غير موثوقةٍ بطرقٍ تسمح بتنفيذ تعليماتٍ برمجية خبيثةٍ عن بُعد.

مجموعات تهديد متعددة تنفذ هجمات منسقة

وثّق فريق استخبارات التهديدات لدى جوجل هجماتٍ مُوسّعة بدأت في 3 كانون الأول/ديسمبر، رصدَ خلالها مجموعاتٍ إجرامية تتراوح بين قراصنةٍ انتهازيين وصولاً إلى مجموعات قرصنة سيبرانية مدعومةٍ من حكومات، فقد عمدت مجموعات قرصنة صينية إلى تثبيت نوعياتٍ مختلفةٍ من البرمجيات الخبيثة على الأنظمة المخترَقة، مستهدفةً -بشكلٍ أساسي- خوادم الحوسبة السحابية على موقعي أمازون (Amazon Web Services) وعلي بابا (Alibaba Cloud).

واستخدمَ هؤلاء المهاجمون تقنياتٍ متطورةً للحفاظ على وصولٍ مُستدام للأنظمة المُستهدَفة، حيث قامت بعض المجموعات بتثبيت برمجياتٍ تُنشِئ أنفاقاً سرية للتحكم عن بُعد، فيما عمدت مجموعاتٌ أخرى إلى نشر برمجياتٍ تُحمِّل باستمرار أدواتٍ خبيثة إضافية مُتنكرةً في هيئة ملفاتٍ آمنة، وتتخفى البرمجيات الضارة في مجلدات النظام وتُعيد التشغيل تلقائياً لتجنّب اكتشافها.

من جهةٍ أخرى، عمَدت عدة مجموعاتٍ إلى إخفاء برمجياتها الضارة في صورة برامج عادية، أو استخدمت خدماتٍ سحابية شرعية مثل صفحات Cloudflare و GitLab من أجل إخفاء اتصالاتها.

New details on multiple state and criminal actors now exploiting React2Shell. https://t.co/4M21rqLndT

— John Hultquist (@JohnHultquist) December 13, 2025

كما انضمَّ مُجرمون ذوي دوافع مالية إلى موجة الهجمات في 5 كانون الأول/ديسمبر، حيث قاموا بتثبيت برامج تعدين العملات الرقمية التي تستخدم سراً قوة المعالجة الحاسوبية لأجهزة الضحايا من أجل تعدين أرصدة عملة مونيرو (Monero-XMR)؛ وبدأت تلك المجموعات بتشغيل برمجيات التعدين الخفية هذه باستمرار في الخلفية، ما رفع تكاليف الكهرباء على الضحايا وعاد على المهاجمين بالمكاسب، لتمتلئ منتديات القرصنة السرية سريعاً بنقاشاتٍ حول أدوات الهجوم وتجارب القرصنة السيبرانية.

النمط التاريخي لهجمات سلاسل التوريد يتواصل

تأتي ثغرة React الأمنية في أعقاب هجومٍ وقع في 8 أيلول/سبتمبر الفائت، حيث قام قراصنةٌ باختراق حساب npm الخاص بمسؤول الصيانة الشهير للمصادر المفتوحة جوش غولدبيرج (Josh Goldberg)، ونشروا تحديثاتٍ خبيثةً لـ 18 حزمة برمجية شائعة الاستخدام، أبرزُها حزم chalk وdebug وstrip-ansi، ويصل عدد مرات تنزيل هذه الأدوات مجتمعةً إلى أكثرَ من 2.6 مليار مرة أسبوعياً.

كما اكتشف الباحثون برمجيةً خبيثة تُسمى crypto-clipper تعترض وظائف المتصفح لاستبدال عناوين محافظ الكريبتو الحقيقية بعناوين تابعةٍ للمخترقين.

من جهته، يَصف تشارلز غيليميه (Charles Guillemet) -المدير التقني لشركة Ledger- الحادثَ بـ”الهجوم الموسّع على سلاسل التوريد“، ناصحاً المستخدمين ممّن لا يمتلكون محافظ أجهزة بتجنّب إجراء معاملاتٍ على البلوكتشين.

يُذكر تمكّن المهاجمين من الوصول إلى الضحايا من خلال حملات التصيُّد الاحتيالي التي انتحلت صفة قسم الدعم لدى منصة npm، مُدَّعين أن الحسابات سيتم إغلاقها ما لم يتم تحديث بيانات التحقق ثنائي العناصر (2FA) بحلول 10 أيلول/سبتمبر.

🚨 Hackers are stealing more crypto and moving it faster. One laundering process took only 2 minutes 57 seconds. Can the industry cope?#CryptoSecurity #Web3 #Blockchain #DeFihttps://t.co/lGwutYsT6Q

— Cryptonews.com (@cryptonews) August 12, 2025

وتُظهر بيانات Global Ledger أن قراصنةً سرقوا أصولاً رقمية بقيمةٍ تفوق 3 مليار دولار عبر 119 عملية احتيال في النصف الأول من عام 2025، تم خلالها تحويل 70% من الأرصدة المسروقة قبل الكشف عن وقوع الاختراق، فيما لم يسترد سوى 4.2% من الأصول المسروقة بعد أن أصبحت أنشطة غسل الأموال تستغرق ثوانٍ بدلاً من ساعات.

حالياً، تُنصَحُ المؤسسات التي تستخدم إصدارات React أو Next.js بتحديث أنظمتها فوراً إلى إصدارات 19.0.1 أو 19.1.2 أو 19.2.1، وتطبيق قواعد جدار حماية تطبيقات الويب (WAF)، ومراجعة جميع التبعيات، ومراقبة حركة المرور بحثاً عن أوامر تتضمن wget أو cURL التي تُنفذها خوادم الإنترنت، واصطياد الدلائل المخفية الخبيثة أو ممارسات إقحام إعداداتٍ خبيثةٍ في أنظمة التشغيل.