React 錯誤觸發錢包被盜攻擊，黑客攻擊加密貨幣網站

一個關鍵的 React 伺服器端元件（React Server Components）遠端程式碼執行（RCE）漏洞正被武器化，用於劫持伺服器、耗盡加密貨幣錢包、植入 Monero 礦工，以及加深 2025 年的盜竊浪潮，儘管迫切呼籲修補。

摘要

• 安全聯盟（Security Alliance）與 Google TIG 表示，攻擊者利用 CVE-2025-55182 在 React Server Components 中執行任意程式碼、竊取許可簽名，並耗盡加密貨幣錢包。
• Vercel、Meta 及框架團隊迅速推出修補程式與 WAF 規則，但研究人員發現兩個新的 RSC 漏洞，並警告 JavaScript 供應鏈風險如 Josh Goldberg npm 被攻擊事件仍在持續。
• Global Ledger 報告在 2025 上半年有超過 $3B 起盜竊事件，119 次駭客攻擊中，資金在數分鐘內透過橋接與 Monero 等隱私幣洗錢，僅回收了 4.2%。

根據安全聯盟，React 伺服器端元件中的一個嚴重安全漏洞已引發加密貨幣產業的緊急警告，因為威脅行為者利用此漏洞耗盡錢包並部署惡意軟體。

安全聯盟宣布，數位貨幣掏空者正積極利用 CVE-2025-55182，呼籲所有網站立即檢查前端程式碼是否有可疑資產。此漏洞不僅影響 Web3 協議，也影響所有使用 React 的網站，攻擊者針對跨平台的許可簽名。

安全研究人員指出，用戶在簽署交易時面臨風險，因為惡意程式碼會攔截錢包通訊並將資金轉向攻擊者控制的地址。

React 官方團隊於 12 月 3 日披露 CVE-2025-55182，並根據 Lachlan Davidson 於 11 月 29 日透過 Meta Bug Bounty 的報告，將其評為 CVSS 10.0。該未經驗證的遠端程式碼執行漏洞利用 React 解碼傳送至伺服器端點的有效載荷方式，使攻擊者能夠製作惡意 HTTP 請求，在伺服器上執行任意程式碼。

React 新版本

此漏洞影響 React 版本 19.0、19.1.0、19.1.1 及 19.2.0，涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 套件。主要框架如 Next.js、React Router、Waku 及 Expo 也需立即更新，根據建議。

修補程式已在 19.0.1、19.1.2 及 19.2.1 版本推出，Next.js 用戶需從 14.2.35 升級至 16.0.10 多個版本線，根據發布說明。

研究人員在嘗試利用修補程式時，發現了兩個新的 React Server Components 漏洞，這些是與該嚴重 CVE 分開的全新問題。研究人員表示，React2Shell 的修補仍有效於遠端程式碼執行攻擊。

Vercel 已部署 Web 應用程式防火牆（WAF）規則，以自動保護其平台上的專案，但公司強調僅靠 WAF 保護仍不足夠。Vercel 在 12 月 3 日的安全公告中指出，必須立即升級到修補版本，並補充此漏洞影響處理不可信輸入且允許遠端程式碼執行的應用。

Google 威脅情報組（Threat Intelligence Group）記錄了自 12 月 3 日起的廣泛攻擊，追蹤從機會主義駭客到政府支持的行動組織。報告指出，中國駭客集團在受感染系統上安裝多種類型的惡意軟體，主要針對亞馬遜 Web 服務（AWS）與阿里雲的雲端伺服器。

這些攻擊者採用多種技術以維持長期存取受害系統，有些安裝軟體建立遠端存取隧道，另一些則部署持續下載額外惡意工具的程式，這些工具偽裝成合法檔案。惡意軟體藏匿於系統資料夾中，並自動重啟以避免偵測，研究人員報告。

以金錢為動機的犯罪分子自 12 月 5 日起加入攻擊浪潮，安裝用於挖掘 Monero 的加密貨幣礦工，這些礦工在背景持續運行，增加電力成本，同時為攻擊者帶來利潤。地下駭客論壇迅速充滿討論，分享攻擊工具與利用經驗，研究人員觀察到。

React 漏洞緊隨 9 月 8 日的攻擊事件，當時駭客入侵 Josh Goldberg 的 npm 帳號，並發布惡意更新至 18 個廣泛使用的套件，包括 chalk、debug 及 strip-ansi。這些工具每週下載量超過 26 億次，研究人員發現了攔截瀏覽器功能的加密貨幣截取器（crypto-clipper）惡意軟體，會將合法錢包地址換成攻擊者控制的地址。

Ledger 首席技術官 Charles Guillemet 描述該事件為「大規模供應鏈攻擊」，建議未使用硬體錢包的用戶避免進行鏈上交易。攻擊者透過假冒 npm 支援的釣魚活動取得存取權，聲稱帳號若不在 9 月 10 日前更新雙重驗證（2FA）憑證，將被鎖定，Guillemet 如是說。

駭客正加快竊取加密貨幣的速度，一次洗錢過程據報只需 2 分 57 秒。

Global Ledger 的資料顯示，2025 上半年駭客在 119 起事件中竊取超過 $3B 億美元，70% 的資金在公開前已被轉移。僅有 4.2% 的被盜資產被追回，洗錢速度由數小時縮短至數秒，報告指出。

使用 React 或 Next.js 的組織被建議立即升級至 19.0.1、19.1.2 或 19.2.1 版本，部署 WAF 規則，審核所有依賴項，監控網路流量中由網頁伺服器進行的 wget 或 cURL 命令，並搜尋未授權的隱藏目錄或惡意的 shell 配置注入，根據安全建議。