خطأ في React يتسبب في هجمات تستنزف المحافظ بينما يهاجم القراصنة مواقع العملات الرقمية

ثغرة خطيرة في مكونات خادم React تُستخدم الآن كسلاح لاحتجاز الخوادم، وسحب المحافظ الرقمية، وزراعة عمال Monero، وتعميق موجة سرقة $3B 2025 على الرغم من نداءات التصحيح العاجلة.​

ملخص

• تقول تحالف الأمان وGoogle TIG إن المهاجمين يستغلون CVE-2025-55182 في مكونات خادم React لتنفيذ أكواد عشوائية، وسرقة توقيعات التصريح، وسحب المحافظ الرقمية.
• سارعت فرق Vercel وMeta والأطر البرمجية إلى إصدار تصحيحات وقواعد WAF، لكن الباحثين اكتشفوا ثغرتين جديدتين في RSC ويحذرون من مخاطر سلسلة التوريد JavaScript مثل اختراق npm الخاص بـ Josh Goldberg المستمر.
• تقارير Ledger العالمية تشير إلى أكثر من $3B مليار دولار مسروقة عبر 119 عملية اختراق في النصف الأول من 2025، مع غسل الأموال خلال دقائق باستخدام الجسور والعملات الخاصة مثل Monero، مع استرداد 4.2% فقط.

أدت ثغرة أمنية حرجة في مكونات خادم React إلى إصدار تحذيرات عاجلة عبر صناعة العملات الرقمية، حيث يستغل المهاجمون الثغرة لسحب المحافظ ونشر البرمجيات الخبيثة، وفقًا لتحالف الأمان.

أعلن تحالف الأمان أن مجرمي السحب النشطين يستغلون CVE-2025-55182، محثين جميع المواقع على مراجعة كود الواجهة الأمامية على الفور للكشف عن الأصول المشبوهة. تؤثر الثغرة ليس فقط على بروتوكولات Web3 بل على جميع المواقع التي تستخدم React، مع استهداف المهاجمين لتوقيعات التصريح عبر المنصات.

يواجه المستخدمون خطرًا عند توقيع المعاملات، حيث يتداخل الكود الخبيث مع اتصالات المحافظ ويعيد توجيه الأموال إلى عناوين يسيطر عليها المهاجمون، وفقًا للباحثين الأمنيين.

كشف الفريق الرسمي لـ React عن CVE-2025-55182 في 3 ديسمبر، وقيّمه بـ CVSS 10.0 بعد تقرير Lachlan Davidson في 29 نوفمبر عبر برنامج Bug Bounty الخاص بـ Meta. تستغل الثغرة غير المصادق عليها تنفيذ الكود عن بُعد كيف يفسر React الأحمال المرسلة إلى نقاط نهاية وظائف الخادم، مما يسمح للمهاجمين بإنشاء طلبات HTTP خبيثة تنفذ أكواد عشوائية على الخوادم، وفقًا للإفصاح.

إصدارات React الجديدة

تؤثر الثغرة على إصدارات React 19.0، 19.1.0، 19.1.1، و19.2.0 عبر حزم react-server-dom-webpack، react-server-dom-parcel، وreact-server-dom-turbopack. تتطلب الأطر الكبرى، بما في ذلك Next.js وReact Router وWaku وExpo، تحديثات فورية، وفقًا للتحذير.

وصلت التصحيحات في الإصدارات 19.0.1، 19.1.2، و19.2.1، ويحتاج مستخدمو Next.js إلى الترقية عبر عدة فروع إصدار من 14.2.35 حتى 16.0.10، وفقًا لملاحظات الإصدار.

وجد الباحثون ثغرتين جديدتين في مكونات خادم React أثناء محاولة استغلال التصحيحات، وفقًا للتقارير. هذه قضايا جديدة، منفصلة عن CVE الحرجة. وأكد الباحثون أن التصحيح لـ React2Shell لا يزال فعالًا لاستغلال تنفيذ الكود عن بُعد.

نشرت Vercel قواعد جدار حماية تطبيق الويب (WAF) لحماية المشاريع تلقائيًا على منصتها، مع ذلك شددت الشركة على أن حماية WAF وحدها غير كافية. يتطلب الأمر ترقية فورية إلى نسخة مصححة، ذكرت Vercel في نشرتها الأمنية بتاريخ 3 ديسمبر، مضيفة أن الثغرة تؤثر على التطبيقات التي تعالج مدخلات غير موثوق بها بطريقة تسمح بتنفيذ الكود عن بُعد.

وثقت مجموعة Google Threat Intelligence هجمات واسعة بدأت في 3 ديسمبر، تتبع مجموعات إجرامية تتراوح بين قراصنة انتهازيين وعمليات مدعومة من الحكومات. قامت مجموعات القرصنة الصينية بتثبيت أنواع مختلفة من البرمجيات الخبيثة على أنظمة مخترقة، مستهدفة بشكل رئيسي خوادم السحابة على Amazon Web Services وAlibaba Cloud، وفقًا للتقرير.

استخدم هؤلاء المهاجمون تقنيات للحفاظ على وصول طويل الأمد إلى أنظمة الضحايا، وفقًا لمجموعة Google Threat Intelligence. قامت بعض المجموعات بتثبيت برامج تخلق أنفاق وصول عن بُعد، بينما نشرت أخرى برامج تقوم بتنزيل أدوات خبيثة إضافية بشكل مستمر، مخفية كملفات شرعية. تختبئ البرمجيات الخبيثة في مجلدات النظام وتعيد التشغيل تلقائيًا لتجنب الكشف، حسبما أفاد الباحثون.

انضم مجرمو الإنترنت المدفوعون ماليًا إلى موجة الهجمات بدءًا من 5 ديسمبر، حيث قاموا بتثبيت برامج تعدين العملات الرقمية التي تستخدم قوة حوسبة الضحايا لتوليد Monero، وفقًا للباحثين الأمنيين. تعمل هذه المعدّات باستمرار في الخلفية، مما يزيد من تكاليف الكهرباء ويحقق أرباحًا للمهاجمين. ملأت المنتديات السوداء بسرعة مناقشات تتشارك أدوات الهجوم وتجارب الاستغلال، لاحظ الباحثون.

تأتي ثغرة React بعد هجوم في 8 سبتمبر قام خلاله القراصنة باختراق حساب npm الخاص بـ Josh Goldberg ونشر تحديثات خبيثة لـ 18 حزمة مستخدمة على نطاق واسع، بما في ذلك chalk وdebug وstrip-ansi. تمثل هذه الأدوات أكثر من 2.6 مليار عملية تنزيل أسبوعيًا، واكتشف الباحثون برمجيات خبيثة من نوع crypto-clipper تعترض وظائف المتصفح لاستبدال عناوين المحافظ الشرعية بعناوين يسيطر عليها المهاجمون.

وصف Charles Guillemet، المدير التقني لـ Ledger، الحادث بأنه “هجوم على سلسلة التوريد على نطاق واسع”، ونصح المستخدمين الذين لا يملكون محافظ أجهزة بتجنب المعاملات على السلسلة. حصل المهاجمون على الوصول من خلال حملات تصيد احتيالية تنتحل دعم npm، وتدعي أن الحسابات ستُقفل إلا إذا تم تحديث بيانات الاعتماد الخاصة بالمصادقة الثنائية قبل 10 سبتمبر، وفقًا لـ Guillemet.

يقوم القراصنة بسرقة العملات الرقمية وتحويلها بشكل أسرع، حيث يُقال إن عملية غسيل الأموال تستغرق فقط 2 دقيقة و57 ثانية، وفقًا لبيانات الصناعة.

تُظهر بيانات Ledger العالمية أن القراصنة سرقوا أكثر من $3 مليار دولار عبر 119 حادثة في النصف الأول من 2025، مع أن 70% من الاختراقات كانت تتم قبل أن تصبح علنية. فقط 4.2% من الأصول المسروقة تم استردادها، حيث أصبح الغسل يستغرق ثوانٍ بدلًا من ساعات، وفقًا للتقرير.

تُنصح المؤسسات التي تستخدم React أو Next.js بالتصحيح فورًا إلى الإصدارات 19.0.1، 19.1.2، أو 19.2.1، بنشر قواعد WAF، مراجعة جميع الاعتمادات، مراقبة حركة الشبكة لطلبات wget أو cURL التي تبدأها عمليات خادم الويب، والبحث عن أدلة على مجلدات مخفية غير مصرح بها أو حقن تكوينات shell خبيثة، وفقًا للتحذيرات الأمنية.