Μια σοβαρή ευπάθεια ασφαλείας στα React Server Components έχει προκαλέσει επείγουσες προειδοποιήσεις σε όλη τη βιομηχανία κρυπτονομισμάτων, καθώς οι επιτιθέμενοι εκμεταλλεύονται γρήγορα αυτή την αδυναμία για να αδειάσουν πορτοφόλια και να αναπτύξουν κακόβουλο λογισμικό. Η Security Alliance ανακοίνωσε ότι οι crypto-drainers χρησιμοποιούν ενεργά την CVE-2025-55182, προειδοποιώντας όλες τις ιστοσελίδες να ελέγξουν άμεσα τον κώδικα front-end τους για ύποπτα στοιχεία. Η ευπάθεια επηρεάζει όχι μόνο τα Web3 πρωτόκολλα αλλά και όλες τις ιστοσελίδες που χρησιμοποιούν React, με τους επιτιθέμενους να στοχεύουν υπογραφές αδειών σε διάφορες πλατφόρμες. Οι χρήστες αντιμετωπίζουν άμεσο κίνδυνο όταν υπογράφουν οποιαδήποτε συναλλαγή, καθώς ο κακόβουλος κώδικας παρεμβαίνει στις επικοινωνίες των πορτοφολιών και ανακατευθύνει τα κεφάλαια σε διευθύνσεις που ελέγχονται από τους επιτιθέμενους.

Η επίσημη ομάδα του React αποκάλυψε την CVE-2025-55182 στις 3 Δεκεμβρίου, βαθμολογώντας την με CVSS 10.0, μετά από αναφορά του Lachlan Davidson στις 29 Νοεμβρίου μέσω του Meta Bug Bounty. Η ευπάθεια επιτρέπει την εκτέλεση απομακρυσμένου κώδικα και εκμεταλλεύεται τον τρόπο που το React αποκωδικοποιεί τα payloads που αποστέλλονται σε Server Function endpoints, επιτρέποντας στους επιτιθέμενους να δημιουργούν κακόβουλα HTTP αιτήματα που εκτελούν αυθαίρετο κώδικα στους διακομιστές. Η ευπάθεια επηρεάζει τις εκδόσεις React 19.0, 19.1.0, 19.1.1 και 19.2.0, καθώς και τα πακέτα react-server-dom-webpack, react-server-dom-parcel και react-server-dom-turbopack. Σημαντικά frameworks, όπως το Next.js, React Router, Waku και Expo, απαιτούν άμεσες ενημερώσεις.

Η Vercel έχει αναπτύξει κανόνες Web Application Firewall (WAF) για να προστατεύσει αυτόματα τα έργα στην πλατφόρμα της, αν και η εταιρεία τόνισε ότι η προστασία WAF από μόνη της δεν είναι επαρκής. “Απαιτούνται άμεσες αναβαθμίσεις σε μια διορθωμένη έκδοση,” δήλωσε η Vercel στην ανακοίνωσή της για την ασφάλεια στις 3 Δεκεμβρίου, προσθέτοντας ότι η ευπάθεια επηρεάζει εφαρμογές που επεξεργάζονται μη αξιόπιστα δεδομένα με τρόπους που επιτρέπουν την εκτέλεση απομακρυσμένου κώδικα.

Η ομάδα Google Threat Intelligence Group κατέγραψε εκτεταμένες επιθέσεις που ξεκίνησαν στις 3 Δεκεμβρίου, παρακολουθώντας εγκληματικές ομάδες που κυμαίνονται από ευκαιριακούς χάκερ μέχρι κρατικές επιχειρήσεις. Κινεζικές ομάδες χάκερ εγκατέστησαν διάφορους τύπους κακόβουλου λογισμικού σε παραβιασμένα συστήματα, κυρίως στοχεύοντας cloud servers σε Amazon Web Services και Alibaba Cloud. Αυτοί οι επιτιθέμενοι χρησιμοποίησαν προηγμένες τεχνικές για να διατηρήσουν μακροχρόνια πρόσβαση στα θύματα τους.

Σύμφωνα με τα δεδομένα της Global Ledger, οι χάκερ έκλεψαν πάνω από 3 δισεκατομμύρια δολάρια σε 119 περιστατικά κατά το πρώτο εξάμηνο του 2025, με το 70% των παραβιάσεων να περιλαμβάνει κεφάλαια που μεταφέρθηκαν πριν γίνουν δημόσιες. Μόνο το 4.2% των κλεμμένων περιουσιακών στοιχείων ανακτήθηκαν, καθώς η διαδικασία ξεπλύματος τώρα διαρκεί δευτερόλεπτα αντί για ώρες.

Προς το παρόν, οι οργανισμοί που χρησιμοποιούν React ή Next.js προειδοποιούνται να διορθώσουν άμεσα σε εκδόσεις 19.0.1, 19.1.2 ή 19.2.1, να αναπτύξουν κανόνες WAF, να ελέγξουν όλες τις εξαρτήσεις, να παρακολουθούν την κίνηση του δικτύου για wget ή cURL εντολές που ξεκινούν από διαδικασίες web server και να αναζητούν μη εξουσιοδοτημένους κρυφούς καταλόγους ή κακόβουλες ρυθμίσεις $SHELL.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: