Bug React memicu serangan yang menguras dompet saat peretas menyerang situs web crypto

Bug RCE React Server Components yang kritis sedang digunakan sebagai senjata untuk membajak server, menguras dompet crypto, menanam penambang Monero, dan memperdalam gelombang pencurian $3B 2025 meskipun ada desakan patch mendesak.​

Ringkasan

• Security Alliance dan Google TIG mengatakan penyerang mengeksploitasi CVE-2025-55182 dalam React Server Components untuk menjalankan kode sewenang-wenang, mencuri tanda tangan izin, dan menguras dompet crypto.
• Vercel, Meta, dan tim framework cepat menambal dan membuat aturan WAF, tetapi peneliti menemukan dua bug RSC baru dan memperingatkan risiko rantai pasokan JavaScript seperti hack npm Josh Goldberg tetap ada.
• Global Ledger melaporkan lebih dari $3B dicuri dalam 119 peretasan di paruh pertama 2025, dengan dana dibersihkan dalam hitungan menit menggunakan jembatan dan koin privasi seperti Monero, dan hanya 4,2% yang berhasil dipulihkan.

Kerentanan keamanan kritis dalam React Server Components telah memicu peringatan mendesak di seluruh industri cryptocurrency, karena aktor ancaman mengeksploitasi kerusakan tersebut untuk menguras dompet dan menyebarkan malware, menurut Security Alliance.

Security Alliance mengumumkan bahwa penguras crypto sedang aktif menggunakan CVE-2025-55182, mendesak semua situs web untuk segera meninjau kode front-end mereka untuk aset yang mencurigakan. Kerentanan ini tidak hanya mempengaruhi protokol Web3 tetapi semua situs web yang menggunakan React, dengan penyerang menargetkan tanda tangan izin di berbagai platform.

Pengguna menghadapi risiko saat menandatangani transaksi, karena kode berbahaya menyadap komunikasi dompet dan mengarahkan dana ke alamat yang dikendalikan penyerang, menurut peneliti keamanan.

Tim resmi React mengungkapkan CVE-2025-55182 pada 3 Desember, menilai CVSS 10.0 mengikuti laporan Lachlan Davidson pada 29 November melalui Meta Bug Bounty. Kerentanan eksekusi kode jarak jauh yang tidak terautentikasi ini mengeksploitasi cara React mendekode payload yang dikirim ke endpoint Server Function, memungkinkan penyerang membuat permintaan HTTP berbahaya yang menjalankan kode sewenang-wenang di server, menurut pengungkapan tersebut.

Versi baru React

Kerusakan ini mempengaruhi versi React 19.0, 19.1.0, 19.1.1, dan 19.2.0 di paket react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack. Kerangka kerja utama, termasuk Next.js, React Router, Waku, dan Expo, membutuhkan pembaruan segera, menurut advisories.

Patch tersedia di versi 19.0.1, 19.1.2, dan 19.2.1, dengan pengguna Next.js perlu melakukan upgrade di banyak jalur rilis dari 14.2.35 hingga 16.0.10, menurut catatan rilis.

Peneliti menemukan dua kerentanan baru dalam React Server Components saat mencoba mengeksploitasi patch, menurut laporan. Ini adalah masalah baru, berbeda dari CVE kritis. Patch untuk React2Shell tetap efektif untuk eksploitasi Remote Code Execution, kata peneliti.

Vercel menerapkan aturan Firewall Aplikasi Web secara otomatis untuk melindungi proyek di platformnya, meskipun perusahaan menekankan bahwa perlindungan WAF saja tidak cukup. Pembaruan segera ke versi yang dipatch diperlukan, kata Vercel dalam buletin keamanan 3 Desember, menambahkan bahwa kerentanan ini mempengaruhi aplikasi yang memproses input tidak dipercaya dengan cara yang memungkinkan eksekusi kode jarak jauh.

Google Threat Intelligence Group mendokumentasikan serangan luas mulai 3 Desember, melacak kelompok kriminal mulai dari peretas oportunistik hingga operasi yang didukung pemerintah. Kelompok peretas China menginstal berbagai jenis malware di sistem yang dikompromikan, terutama menargetkan server cloud di Amazon Web Services dan Alibaba Cloud, menurut laporan.

Penyerang ini menggunakan teknik untuk mempertahankan akses jangka panjang ke sistem korban, menurut Google Threat Intelligence Group. Beberapa kelompok menginstal perangkat lunak yang membuat terowongan akses jarak jauh, sementara yang lain menyebarkan program yang secara kontinu mengunduh alat berbahaya tambahan yang disamarkan sebagai file yang sah. Malware bersembunyi di folder sistem dan secara otomatis memulai ulang untuk menghindari deteksi, lapor peneliti.

Penjahat bermotivasi finansial bergabung dalam gelombang serangan mulai 5 Desember, menginstal perangkat lunak penambang crypto yang menggunakan kekuatan komputasi korban untuk menghasilkan Monero, menurut peneliti keamanan. Penambang ini berjalan terus-menerus di latar belakang, meningkatkan biaya listrik sekaligus menghasilkan keuntungan bagi penyerang. Forum peretasan bawah tanah dengan cepat dipenuhi diskusi berbagi alat serangan dan pengalaman eksploitasi, amati peneliti.

Kerentanan React mengikuti serangan 8 September di mana hacker membobol akun npm Josh Goldberg dan menerbitkan pembaruan berbahaya ke 18 paket yang banyak digunakan, termasuk chalk, debug, dan strip-ansi. Utilities ini secara kolektif memiliki lebih dari 2,6 miliar unduhan mingguan, dan peneliti menemukan malware crypto-clipper yang menyadap fungsi browser untuk menukar alamat dompet yang sah dengan yang dikendalikan penyerang.

CTO Ledger, Charles Guillemet, menyebut insiden ini sebagai “serangan rantai pasok skala besar,” menyarankan pengguna tanpa dompet perangkat keras untuk menghindari transaksi di chain. Penyerang mendapatkan akses melalui kampanye phishing yang menyamar sebagai dukungan npm, mengklaim bahwa akun akan dikunci kecuali kredensial otentikasi dua faktor diperbarui sebelum 10 September, menurut Guillemet.

Peretas mencuri cryptocurrency dan memindahkannya lebih cepat, dengan satu proses pencucian dilaporkan hanya memakan waktu 2 menit 57 detik, menurut data industri.

Data Global Ledger menunjukkan peretas mencuri lebih dari $3 miliar dalam 119 insiden di paruh pertama 2025, dengan 70% pelanggaran melibatkan dana yang dipindahkan sebelum menjadi publik. Hanya 4,2% aset yang dicuri yang berhasil dipulihkan, karena pencucian sekarang memakan waktu detik bukan jam, menurut laporan.

Organisasi yang menggunakan React atau Next.js disarankan untuk segera mempatch ke versi 19.0.1, 19.1.2, atau 19.2.1, menerapkan aturan WAF, mengaudit semua dependensi, memantau lalu lintas jaringan untuk perintah wget atau cURL yang dimulai oleh proses server web, dan mencari direktori tersembunyi yang tidak sah atau injeksi konfigurasi shell berbahaya, menurut advis keamanan.