Reactのバグがウォレットの流出攻撃を引き起こし、ハッカーが暗号資産ウェブサイトを狙う

Reactサーバーコンポーネントの重大なRCEバグが悪用され、サーバーの乗っ取り、暗号資産ウォレットの流出、Moneroマイナーの設置、そして2025年の窃盗波の深刻化が進んでいます。緊急パッチの要請にもかかわらず、悪用は拡大しています。

概要

• セキュリティアライアンスとGoogle TIGは、攻撃者がReactサーバーコンポーネントのCVE-2025-55182を悪用し、任意のコード実行、許可署名の窃取、暗号資産ウォレットの流出を行っていると指摘しています。
• Vercel、Meta、フレームワークチームはパッチとWAFルールを急いで導入しましたが、研究者は新たに2つのRSCバグを発見し、Josh Goldbergのnpmハックに代表されるJavaScriptサプライチェーンリスクが依然として存在すると警告しています。
• グローバルレジャーは、2025年上半期に119件のハッキングで合計$3B 億ドル以上が盗まれ、資金はブリッジやMoneroのようなプライバシーコインを使って数分以内にマネーロンダリングされ、回収されたのはわずか4.2％です。

Reactサーバーコンポーネントの重大なセキュリティ脆弱性により、暗号通貨業界全体で緊急の警告が出されています。脅威アクターはこの脆弱性を悪用し、ウォレットの流出やマルウェアの展開を行っているとSecurity Allianceは述べています。

Security Allianceは、暗号資産の流出を狙う攻撃者がCVE-2025-55182を積極的に悪用していると発表し、すべてのウェブサイトに対して直ちにフロントエンドコードの点検を呼びかけています。この脆弱性はWeb3プロトコルだけでなく、Reactを使用するすべてのウェブサイトに影響し、攻撃者はプラットフォーム間で許可署名を標的としています。

ユーザーはトランザクションの署名時にリスクにさらされており、悪意のあるコードがウォレット通信を傍受し、資金を攻撃者管理のアドレスにリダイレクトする可能性があるとセキュリティ研究者は指摘しています。

Reactの公式チームは、2024年12月3日にCVE-2025-55182を公開し、Meta Bug Bountyを通じた2024年11月29日のラクロンド・デイビッドソンの報告に基づき、CVSS 10.0と評価しました。この未認証リモートコード実行の脆弱性は、ReactがServer Functionエンドポイントに送信されるペイロードをデコードする方法に起因し、攻撃者が悪意のあるHTTPリクエストを作成してサーバー上で任意のコードを実行できるとしています。

Reactの新バージョン

この脆弱性は、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackの各パッケージにおいて、Reactバージョン19.0、19.1.0、19.1.1、19.2.0に影響しています。Next.js、React Router、Waku、Expoなどの主要フレームワークは、即時のアップデートが必要とされています。

パッチはバージョン19.0.1、19.1.2、19.2.1にリリースされており、Next.jsのユーザーは14.2.35から16.0.10までの複数のリリースラインでアップグレードが必要です。リリースノートによると。

研究者は、パッチ適用後もReactサーバーコンポーネントに新たな脆弱性を2つ発見したと報告しています。これらは重大なCVEとは別の新たな問題です。React2Shellのパッチはリモートコード実行の脆弱性には引き続き有効だと研究者は述べています。

Vercelは、自社プラットフォーム上のプロジェクトを自動的に保護するWebアプリケーションファイアウォール（WAF）ルールを展開しましたが、同社はWAFだけでは不十分であると強調しています。即時にパッチ済みバージョンへのアップグレードが必要とされており、2024年12月3日のセキュリティ公告で、脆弱性は信頼できない入力を処理するアプリケーションに影響し、リモートコード実行を許すと述べています。

Google Threat Intelligence Groupは、12月3日から始まる広範な攻撃を記録し、機会主義的ハッカーから政府支援の作戦までの犯罪グループを追跡しています。中国のハッカーグループは、Amazon Web ServicesやAlibaba Cloudのクラウドサーバーを主なターゲットに、さまざまなマルウェアを感染させていると報告しています。

これらの攻撃者は、長期的なアクセスを維持するための手法を用いており、一部のグループはリモートアクセス用のトンネルを作成するソフトウェアをインストールし、他のグループは正規のファイルに偽装した追加のマルウェアを継続的にダウンロードするプログラムを展開しています。マルウェアはシステムフォルダに隠れ、検出を避けるために自動的に再起動します。

金銭的動機の犯罪者も12月5日以降の攻撃波に参加し、被害者のコンピューティングパワーを利用してMoneroを生成する暗号マイニングソフトをインストールしています。これらのマイナーは常にバックグラウンドで動作し、電力コストを押し上げながら攻撃者に利益をもたらしています。地下のハッキングフォーラムでは、攻撃ツールやエクスプロイトの経験を共有する議論が急速に増えています。

このReactの脆弱性は、9月8日にハッカーがJosh Goldbergのnpmアカウントを侵害し、chalk、debug、strip-ansiなどの広く使われるパッケージに悪意のあるアップデートを公開した事件に続くものです。これらのユーティリティは週あたり26億以上のダウンロードを記録しており、研究者はブラウザの機能を傍受し、正規のウォレットアドレスと攻撃者管理のアドレスを交換する暗号クリッパーマルウェアを発見しています。

LedgerのCTO、Charles Guillemetは、この事件を「大規模なサプライチェーン攻撃」と表現し、ハードウェアウォレットを持たないユーザーにはオンチェーン取引を避けるよう助言しています。攻撃者は、npmサポートを装ったフィッシングキャンペーンを通じてアクセスを獲得し、アカウントは9月10日までに二要素認証情報を更新しなければロックされると主張していたとGuillemetは述べています。

ハッカーは暗号資産を盗み、より早く移動させており、あるマネーロンダリングの処理にはわずか2分57秒しかかからなかったと業界データは示しています。

グローバルレジャーのデータによると、2025年上半期にハッカーは119件の事件で$3B 億ドル以上を盗み出し、その70％は公開前に資金を移動させていたと報告されています。盗まれた資産のうち回収されたのはわずか4.2％であり、マネーロンダリングは時間ではなく秒単位で行われるようになっています。

ReactやNext.jsを使用している組織は、直ちにバージョン19.0.1、19.1.2、または19.2.1にパッチを適用し、WAFルールを展開し、すべての依存関係を監査し、ネットワークトラフィックを監視してwgetやcURLコマンドを検知し、不正な隠しディレクトリやマルウェアのシェル設定インジェクションを追跡することが推奨されています。