سوءاستفاده هکر ها از آسیب پذیری React Server Components
یک آسیب پذیری امنیتی بحرانی در React Server Components باعث صدور هشدارهای فوری در سراسر صنعت ارزهای دیجیتال شده است. طبق اعلام Security Alliance، مهاجمان سایبری از این نقص برای تخلیه کیف پول های رمزارزی، نصب بدافزار و اجرای کد مخرب روی سرورها استفاده می کنند.
Security Alliance اعلام کرد مهاجمان به طور فعال در حال تسلیح آسیب پذیری CVE-2025-55182 هستند و از تمامی وب سایت ها خواست فوراً کدهای فرانت اند خود را برای شناسایی فایل ها و دارایی های مشکوک بررسی کنند. این نقص تنها محدود به پروتکل های Web3 نیست و تمام وب سایت هایی که از React استفاده می کنند را در معرض خطر قرار می دهد؛ به ویژه با هدف سوءاستفاده از امضاهای Permit در پلتفرم های مختلف.
ریسک مستقیم کاربران هنگام امضای تراکنش ها
به گفته پژوهشگران امنیتی، کاربران هنگام امضای تراکنش ها در معرض خطر جدی قرار دارند؛ زیرا کدهای مخرب می توانند ارتباط کیف پول را رهگیری کرده و وجوه را به آدرس های تحت کنترل مهاجمان منتقل کنند.
تیم رسمی React این آسیب پذیری را در ۳ دسامبر افشا کرد و با توجه به گزارش لاکلان دیویدسون در ۲۹ نوامبر از طریق برنامه Meta Bug Bounty، امتیاز CVSS 10.0 (بالاترین سطح خطر) را به آن اختصاص داد. این نقص از نوع اجرای کد از راه دور بدون احراز هویت (RCE) است و به نحوه دیکود شدن payload ها در Server Function ها مربوط می شود که امکان ارسال درخواست های HTTP مخرب و اجرای کد دلخواه روی سرور را فراهم می کند.
نسخه های آسیب پذیر React و به روزرسانی های ضروری
این باگ نسخه های 19.0، 19.1.0، 19.1.1 و 19.2.0 از React را در بسته های زیر تحت تأثیر قرار می دهد:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
طبق هشدار رسمی، فریم ورک های بزرگی مانند Next.js، React Router، Waku و Expo باید فوراً به روزرسانی شوند. پچ های امنیتی در نسخه های 19.0.1، 19.1.2 و 19.2.1 منتشر شده اند. کاربران Next.js نیز باید در بازه های مختلف انتشار، از نسخه 14.2.35 تا 16.0.10 به روزرسانی انجام دهند.
کشف آسیب پذیری های جدید در حین بررسی پچ ها
پژوهشگران امنیتی هنگام بررسی پچ ها، دو آسیب پذیری جدید دیگر در React Server Components شناسایی کرده اند. این موارد مستقل از CVE بحرانی هستند، اما تأکید شده که پچ مربوط به React2Shell همچنان در برابر اکسپلویت RCE مؤثر است.
گسترش حملات؛ از سرقت رمزارز تا استخراج مونرو
شرکت Vercel اعلام کرد قوانین جدیدی را در Web Application Firewall (WAF) خود اعمال کرده تا پروژه های میزبانی شده را به صورت خودکار محافظت کند، اما هشدار داد که WAF به تنهایی کافی نیست و به روزرسانی فوری نسخه ها الزامی است.
طبق گزارش Google Threat Intelligence Group، از ۳ دسامبر موج گسترده ای از حملات آغاز شده که طیف وسیعی از مهاجمان، از هکرهای فرصت طلب تا گروه های تحت حمایت دولت ها را شامل می شود. برخی گروه های هکری چینی با تمرکز بر سرورهای ابری AWS و Alibaba Cloud، بدافزارهای مختلفی را روی سیستم های آلوده نصب کرده اند.
این مهاجمان برای حفظ دسترسی بلندمدت، از تونل های دسترسی از راه دور و بدافزارهایی استفاده می کنند که به طور مداوم ابزارهای مخرب جدید دانلود می کنند و در پوشه های سیستمی مخفی می شوند.
بیشتر بخوانید: هک وی چت مدیر بایننس؛ پامپ و دامپ MUBARA لو رفت
نصب ماینر مونرو و تشدید سرقت های ۲۰۲۵
از ۵ دسامبر، مجرمان با انگیزه مالی نیز وارد این موج حملات شدند و اقدام به نصب ماینرهای مونرو (Monero) کردند که از توان پردازشی قربانیان برای استخراج استفاده می کنند. این فعالیت ها باعث افزایش هزینه برق کاربران و سود مستقیم مهاجمان می شود.
بر اساس داده های Ledger، در نیمه اول سال ۲۰۲۵ بیش از ۳ میلیارد دلار رمزارز در ۱۱۹ حمله به سرقت رفته است. در ۷۰٪ موارد، وجوه پیش از عمومی شدن حمله جابه جا شده اند و تنها ۴.۲٪ از دارایی های سرقت شده بازیابی شده اند. طبق گزارش ها، فرآیند پول شویی اکنون به چند دقیقه کاهش یافته است.
توصیه های امنیتی فوری برای توسعه دهندگان
سازمان های استفاده کننده از React یا Next.js باید فوراً اقدامات زیر را انجام دهند:
- به روزرسانی به نسخه های 0.1، 19.1.2 یا 19.2.1
- فعال سازی و تنظیم WAF
- ممیزی کامل وابستگی ها (Dependencies)
- پایش ترافیک شبکه برای دستورات مشکوک مانند wget یا cURL
- بررسی پوشه های مخفی غیرمجاز و تزریق های مخرب در تنظیمات شِل
