Um bug crítico de RCE nos componentes do servidor React foi transformado em arma para aprofundar a onda de sequestro de servidores, exfiltração de carteiras de criptomoedas, instalação de mineradores Monero e roubo de US$ 3 bilhões em 2025, apesar dos pedidos por um patch de emergência.
resumo
A Security Alliance e o Google TIG afirmam que os invasores exploraram o CVE-2025-55182 nos componentes do React Server para executar código arbitrário, roubar assinaturas de autorização e comprometer carteiras criptografadas. Enquanto as equipes Vercel, Meta e framework corriam por patches e regras WAF, os pesquisadores descobriram dois novos bugs RSC e alertaram que os riscos da cadeia de suprimentos de JavaScript, como o hack npm de Josh Goldberg, persistem. A Global Ledger relata que mais de US$ 3 bilhões foram roubados em 119 hacks no primeiro semestre de 2025, com fundos lavados em minutos usando moedas de privacidade como Bridge e Monero, com apenas 4,2% recuperados.
Uma vulnerabilidade crítica de segurança nos componentes do React Server desencadeou um alerta urgente em toda a indústria de criptografia, à medida que os agentes de ameaças estão explorando a falha para comprometer carteiras e implantar malware, de acordo com a Security Alliance.
A Security Alliance anuncia que os vazadores de criptomoedas estão ativamente armando o CVE-2025-55182 e insta todos os sites a verificarem imediatamente seu código front-end em busca de ativos suspeitos. Esta vulnerabilidade afeta todos os sites que usam React, não apenas o protocolo Web3, e os invasores têm como alvo assinaturas de permissão em toda a plataforma.
Pesquisadores de segurança dizem que os usuários enfrentam riscos ao assinar transações porque códigos maliciosos interceptam comunicações de carteiras e redirecionam fundos para endereços controlados por invasores.
A equipe oficial do React publicou CVE-2025-55182 em 3 de dezembro e avaliou CVSS 10.0 após um relatório de 29 de novembro de Lachlan Davidson sobre o Meta Bug Bounty. De acordo com a divulgação, esta vulnerabilidade de execução remota de código não autenticado explora a maneira como o React decodifica cargas enviadas para terminais de função do servidor, permitindo que um invasor crie solicitações HTTP maliciosas que executam código arbitrário no servidor.
reagir a novas versões
Esta falha afeta os pacotes react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 do react. De acordo com a assessoria, frameworks importantes como Next.js, React Router, Waku e Expo requerem atualizações imediatas.
De acordo com as notas de lançamento, o patch chegará nas versões 19.0.1, 19.1.2 e 19.2.1, e os usuários do Next.js precisarão atualizar em várias linhas de lançamento de 14.2.35 para 16.0.10.
De acordo com o relatório, os pesquisadores descobriram duas novas vulnerabilidades nos componentes do React Server ao tentarem explorar o patch. Estas são questões novas que estão separadas dos importantes CVEs. Os pesquisadores dizem que o patch React2Shell permanece eficaz contra explorações de execução remota de código.
Embora a Vercel tenha introduzido regras de firewall de aplicativos web para proteger automaticamente os projetos em sua plataforma, a empresa enfatizou que a proteção WAF por si só ainda não é suficiente. Vercel disse em um boletim de segurança de 3 de dezembro que os usuários deveriam atualizar imediatamente para uma versão corrigida, acrescentando que a vulnerabilidade afeta aplicativos que processam entradas não confiáveis de uma forma que permite a execução remota de código.
O Google Threat Intelligence Group documentou uma ampla gama de ataques que começaram em 3 de dezembro, rastreando grupos criminosos que vão desde hackers oportunistas até operações apoiadas pelo governo. De acordo com o relatório, o grupo de hackers chinês visou principalmente servidores em nuvem na Amazon Web Services e Alibaba Cloud e instalou vários tipos de malware nos sistemas comprometidos.
De acordo com o Google Threat Intelligence Group, esses invasores usaram técnicas para manter o acesso de longo prazo aos sistemas das vítimas. Alguns grupos instalaram software que criou túneis de acesso remoto, enquanto outros introduziram programas que baixaram continuamente ferramentas maliciosas adicionais disfarçadas de arquivos legítimos. Segundo os pesquisadores, o malware se esconde nas pastas do sistema e reinicia automaticamente para evitar a detecção.
Pesquisadores de segurança disseram que criminosos com motivação financeira participaram de uma onda de ataques iniciada em 5 de dezembro, instalando software de mineração de criptomoedas que usava o poder computacional das vítimas para gerar Monero. Esses mineradores funcionam constantemente em segundo plano, aumentando os custos de energia e beneficiando os invasores. De acordo com os pesquisadores, os fóruns clandestinos de hackers rapidamente se encheram de discussões compartilhando ferramentas de ataque e experiências de exploração.
A vulnerabilidade do React vem logo após um ataque de 8 de setembro no qual hackers comprometeram a conta npm de Josh Goldberg e publicaram atualizações maliciosas para 18 pacotes amplamente usados, incluindo giz, debug e strip-ansi. Juntos, esses utilitários são responsáveis por mais de 2,6 bilhões de downloads semanais, e os pesquisadores descobriram o malware cryptoclipper que intercepta a funcionalidade do navegador e troca endereços de carteiras legítimas por endereços controlados por invasores.
O CTO da Ledger, Charles Guilmet, descreveu o incidente como um “ataque massivo à cadeia de suprimentos” e aconselhou os usuários sem carteiras de hardware a evitar transações na cadeia. De acordo com Guillemet, o invasor obteve acesso por meio de uma campanha de phishing se passando por suporte npm, alegando que, a menos que as credenciais de autenticação de dois fatores fossem atualizadas até 10 de setembro, a conta seria bloqueada.
Os hackers estão roubando criptomoedas e movimentando-as com mais rapidez, com um processo de lavagem levando apenas 2 minutos e 57 segundos, de acordo com dados do setor.
De acordo com dados da Global Ledger, hackers roubaram mais de US$ 3 bilhões em 119 incidentes no primeiro semestre de 2025, e 70% das violações envolvendo fundos foram movimentadas antes de se tornarem públicas. De acordo com o relatório, apenas 4,2% dos bens roubados são recuperados porque a lavagem leva agora segundos em vez de horas.
De acordo com o comunicado de segurança, as organizações que usam React ou Next.js são incentivadas a corrigir imediatamente as versões 19.0.1, 19.1.2 ou 19.2.1, implantar regras WAF, auditar todas as dependências e monitorar o tráfego de rede em busca de comandos wget ou cURL iniciados por processos de servidor web para procurar diretórios ocultos não autorizados ou injeções maliciosas de configuração de shell.
