Erro no React desencadeia ataques que drenam carteiras enquanto hackers atacam sites de criptomoedas

Uma vulnerabilidade crítica de RCE em React Server Components está a ser utilizada para sequestrar servidores, esvaziar carteiras de criptomoedas, plantar mineradores de Monero e aprofundar uma vaga de roubos em $3B 2025, apesar de pedidos urgentes de correção.​

Resumo

• A Security Alliance e o Google TIG afirmam que os atacantes exploram a CVE-2025-55182 em React Server Components para executar código arbitrário, roubar assinaturas de permissões e esvaziar carteiras de criptomoedas.
• Vercel, Meta e equipas de frameworks implementaram patches e regras WAF rapidamente, mas investigadores descobriram duas novas vulnerabilidades em RSC e alertam para riscos na cadeia de fornecimento de JavaScript, como o hack npm do Josh Goldberg, que persistem.
• O Global Ledger reporta mais de $3B biliões roubados em 119 ataques no primeiro semestre de 2025, com fundos lavados em minutos usando pontes e moedas de privacidade como Monero, sendo que apenas 4,2% foram recuperados.

Uma vulnerabilidade de segurança crítica nos React Server Components levou a alertas urgentes na indústria de criptomoedas, pois atores maliciosos exploram a falha para esvaziar carteiras e implantar malware, segundo a Security Alliance.

A Security Alliance anunciou que os criminosos estão a aproveitar ativamente a CVE-2025-55182, instando todos os websites a reverem imediatamente o seu código front-end em busca de ativos suspeitos. A vulnerabilidade afeta não só protocolos Web3, mas todos os websites que usam React, com atacantes a direcionar assinaturas de permissões em várias plataformas.

Os utilizadores enfrentam riscos ao assinar transações, pois código malicioso intercepta comunicações de carteiras e redireciona fundos para endereços controlados pelos atacantes, segundo investigadores de segurança.

A equipa oficial do React divulgou a CVE-2025-55182 a 3 de dezembro, classificando-a como CVSS 10.0 após o relatório de Lachlan Davidson a 29 de novembro através do Meta Bug Bounty. A vulnerabilidade de execução remota de código não autenticada explora como o React decodifica cargas úteis enviadas para endpoints de Server Function, permitindo que atacantes criem pedidos HTTP maliciosos que executam código arbitrário nos servidores, segundo a divulgação.

Novas versões do React

A falha afeta as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 do React, abrangendo os pacotes react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. Frameworks principais, incluindo Next.js, React Router, Waku e Expo, requerem atualizações imediatas, segundo o aviso.

Os patches chegaram às versões 19.0.1, 19.1.2 e 19.2.1, sendo que os utilizadores do Next.js precisam de atualizar várias linhas de versão desde 14.2.35 até 16.0.10, de acordo com as notas de lançamento.

Investigadores descobriram duas novas vulnerabilidades nos React Server Components ao tentarem explorar os patches, segundo relatos. Estas são questões novas, distintas da CVE crítica. A correção para React2Shell continua eficaz contra a exploração de execução remota de código, afirmaram os investigadores.

A Vercel implementou regras de Web Application Firewall para proteger automaticamente projetos na sua plataforma, embora a empresa tenha destacado que a proteção WAF por si só não é suficiente. É necessário atualizar imediatamente para uma versão corrigida, afirmou a Vercel no seu boletim de segurança de 3 de dezembro, acrescentando que a vulnerabilidade afeta aplicações que processam entradas não confiáveis de formas que permitem execução remota de código.

O Google Threat Intelligence Group documentou ataques generalizados a partir de 3 de dezembro, acompanhando grupos criminosos que variam de hackers oportunistas a operações apoiadas por governos. Grupos de hackers chineses instalaram vários tipos de malware em sistemas comprometidos, principalmente visando servidores na nuvem da Amazon Web Services e Alibaba Cloud, segundo o relatório.

Estes atacantes empregaram técnicas para manter acesso a longo prazo aos sistemas das vítimas, segundo o Google Threat Intelligence Group. Alguns grupos instalaram software que cria túneis de acesso remoto, enquanto outros implantaram programas que descarregam continuamente ferramentas maliciosas adicionais disfarçadas de ficheiros legítimos. O malware esconde-se em pastas do sistema e reinicia-se automaticamente para evitar deteção, relataram investigadores.

Criminosos motivados financeiramente juntaram-se à vaga de ataques a partir de 5 de dezembro, instalando software de mineração de criptomoedas que usa o poder de processamento das vítimas para gerar Monero, segundo investigadores de segurança. Estes mineradores funcionam constantemente em segundo plano, aumentando os custos de eletricidade enquanto geram lucros para os atacantes. Fóruns underground de hacking rapidamente se encheram de discussões a partilhar ferramentas de ataque e experiências de exploração, observaram os investigadores.

A vulnerabilidade do React segue um ataque a 8 de setembro, no qual hackers comprometeram a conta npm de Josh Goldberg e publicaram atualizações maliciosas em 18 pacotes amplamente utilizados, incluindo chalk, debug e strip-ansi. Estas utilidades representam coletivamente mais de 2,6 mil milhões de downloads semanais, e investigadores descobriram malware crypto-clipper que intercepta funções do navegador para trocar endereços de carteiras legítimos por outros controlados pelos atacantes.

O CTO da Ledger, Charles Guillemet, descreveu esse incidente como um “ataque de cadeia de fornecimento em grande escala”, aconselhando os utilizadores sem carteiras de hardware a evitar transações na cadeia. Os atacantes obtiveram acesso através de campanhas de phishing que se faziam passar pelo suporte npm, alegando que as contas seriam bloqueadas a menos que as credenciais de autenticação de dois fatores fossem atualizadas até 10 de setembro, segundo Guillemet.

Hackers estão a roubar criptomoedas e a movimentá-las mais rapidamente, com um processo de lavagem a durar apenas 2 minutos e 57 segundos, segundo dados da indústria.

Dados do Global Ledger mostram que hackers roubaram mais de $3 biliões em 119 incidentes no primeiro semestre de 2025, com 70% dos roubos a ocorrer antes de se tornarem públicos. Apenas 4,2% dos ativos roubados foram recuperados, pois a lavagem agora leva segundos em vez de horas, segundo o relatório.

Organizações que usam React ou Next.js são aconselhadas a aplicar patches imediatamente às versões 19.0.1, 19.1.2 ou 19.2.1, implementar regras WAF, auditar todas as dependências, monitorizar o tráfego de rede para comandos wget ou cURL iniciados por processos do servidor web, e procurar por diretórios ocultos não autorizados ou injeções maliciosas na configuração do shell, segundo avisos de segurança.