Lỗi React kích hoạt các cuộc tấn công rút sạch ví khi hacker tấn công các trang web crypto

Lỗ hổng RCE quan trọng trong React Server Components đang bị lợi dụng để chiếm quyền kiểm soát máy chủ, rút tiền khỏi ví crypto, cài đặt các trình khai thác Monero, và làm sâu thêm làn sóng trộm cắp $3B 2025 mặc dù đã có lời kêu gọi vá lỗi khẩn cấp.​

Tóm tắt

• Liên minh An ninh và Google TIG cho biết các hacker khai thác CVE-2025-55182 trong React Server Components để chạy mã tùy ý, đánh cắp chữ ký phép, và rút tiền khỏi ví crypto.
• Vercel, Meta, và các nhóm framework đã nhanh chóng vá lỗi và thiết lập quy tắc WAF, nhưng các nhà nghiên cứu phát hiện hai lỗi RSC mới và cảnh báo các rủi ro chuỗi cung ứng JavaScript như vụ hack npm của Josh Goldberg vẫn tồn tại.
• Global Ledger báo cáo hơn $3B tỷ bị đánh cắp trong 119 vụ tấn công trong nửa đầu năm 2025, với số tiền rửa trong vòng vài phút bằng cầu nối và đồng tiền riêng tư như Monero, và chỉ 4.2% được thu hồi.

Một lỗ hổng bảo mật nghiêm trọng trong React Server Components đã thúc đẩy các cảnh báo khẩn cấp trong ngành công nghiệp tiền mã hóa, khi các tác nhân đe dọa khai thác lỗ hổng để rút tiền khỏi ví và cài đặt phần mềm độc hại, theo Security Alliance.

Security Alliance thông báo rằng các kẻ tấn công đang tích cực lợi dụng CVE-2025-55182, kêu gọi tất cả các trang web kiểm tra mã front-end của họ ngay lập tức để phát hiện các tài sản đáng ngờ. Lỗ hổng này ảnh hưởng không chỉ các giao thức Web3 mà còn tất cả các trang web sử dụng React, với các hacker nhắm vào chữ ký phép trên nhiều nền tảng.

Người dùng gặp rủi ro khi ký giao dịch, vì mã độc xâm nhập vào liên lạc ví và chuyển hướng tiền đến các địa chỉ do kẻ tấn công kiểm soát, theo các nhà nghiên cứu bảo mật.

Nhóm chính thức của React tiết lộ CVE-2025-55182 vào ngày 3 tháng 12, xếp hạng CVSS 10.0 theo báo cáo của Lachlan Davidson ngày 29 tháng 11 qua Meta Bug Bounty. Lỗ hổng thực thi mã từ xa không xác thực khai thác cách React giải mã payload gửi đến các endpoint Server Function, cho phép hacker tạo ra các yêu cầu HTTP độc hại thực thi mã tùy ý trên máy chủ, theo thông báo.

Phiên bản mới của React

Lỗ hổng ảnh hưởng đến các phiên bản React 19.0, 19.1.0, 19.1.1, và 19.2.0 trong các gói react-server-dom-webpack, react-server-dom-parcel, và react-server-dom-turbopack. Các framework lớn như Next.js, React Router, Waku, và Expo cần cập nhật ngay lập tức, theo cảnh báo.

Các bản vá đã có trong các phiên bản 19.0.1, 19.1.2, và 19.2.1, với người dùng Next.js cần nâng cấp qua nhiều dòng phát hành từ 14.2.35 đến 16.0.10, theo ghi chú phát hành.

Các nhà nghiên cứu đã phát hiện hai lỗ hổng mới trong React Server Components khi cố gắng khai thác các bản vá, theo các báo cáo. Đây là các vấn đề mới, riêng biệt với CVE nghiêm trọng. Các bản vá cho React2Shell vẫn hiệu quả để phòng ngừa khai thác thực thi mã từ xa, các nhà nghiên cứu khẳng định.

Vercel đã triển khai các quy tắc WAF để tự động bảo vệ các dự án trên nền tảng của mình, mặc dù công ty nhấn mạnh rằng chỉ có WAF không đủ để bảo vệ. Cần nâng cấp ngay lập tức lên phiên bản đã vá, Vercel cho biết trong bản tin bảo mật ngày 3 tháng 12, đồng thời nhấn mạnh rằng lỗ hổng ảnh hưởng đến các ứng dụng xử lý dữ liệu không đáng tin cậy theo cách cho phép thực thi mã từ xa.

Google Threat Intelligence Group ghi nhận các cuộc tấn công phổ biến bắt đầu từ ngày 3 tháng 12, theo dõi các nhóm tội phạm từ hacker cơ hội đến các hoạt động được nhà nước hậu thuẫn. Các nhóm hacker Trung Quốc đã cài đặt nhiều loại phần mềm độc hại trên các hệ thống bị xâm phạm, chủ yếu nhắm vào các máy chủ đám mây của Amazon Web Services và Alibaba Cloud, theo báo cáo.

Các hacker này sử dụng các kỹ thuật để duy trì quyền truy cập lâu dài vào hệ thống nạn nhân, theo Google Threat Intelligence Group. Một số nhóm cài đặt phần mềm tạo các đường hầm truy cập từ xa, trong khi nhóm khác triển khai các chương trình liên tục tải xuống các công cụ độc hại bổ sung giả dạng các tệp hợp lệ. Phần mềm độc hại ẩn trong các thư mục hệ thống và tự khởi động lại để tránh bị phát hiện, các nhà nghiên cứu báo cáo.

Các tội phạm có động cơ tài chính bắt đầu tham gia làn sóng tấn công từ ngày 5 tháng 12, cài đặt phần mềm khai thác crypto sử dụng sức mạnh tính toán của nạn nhân để tạo Monero, theo các nhà nghiên cứu bảo mật. Các trình khai thác này chạy liên tục trong nền, làm tăng chi phí điện năng trong khi tạo lợi nhuận cho hacker. Các diễn đàn hacker ngầm nhanh chóng tràn ngập các cuộc thảo luận chia sẻ công cụ tấn công và kinh nghiệm khai thác, các nhà nghiên cứu quan sát.

Lỗ hổng React theo sau một cuộc tấn công ngày 8 tháng 9, trong đó hacker xâm phạm tài khoản npm của Josh Goldberg và phát hành các bản cập nhật độc hại cho 18 gói phổ biến, bao gồm chalk, debug, và strip-ansi. Các tiện ích này tổng cộng có hơn 2.6 tỷ lượt tải hàng tuần, và các nhà nghiên cứu đã phát hiện malware crypto-clipper chặn các chức năng trình duyệt để tráo đổi địa chỉ ví hợp lệ bằng các địa chỉ do hacker kiểm soát.

Giám đốc công nghệ Ledger Charles Guillemet mô tả vụ việc là một “cuộc tấn công chuỗi cung ứng quy mô lớn,” khuyên người dùng không sử dụng ví phần cứng tránh các giao dịch trên chuỗi. Các hacker đã truy cập qua các chiến dịch lừa đảo giả mạo hỗ trợ npm, tuyên bố rằng các tài khoản sẽ bị khóa trừ khi cập nhật xác thực hai yếu tố trước ngày 10 tháng 9, theo Guillemet.

Các hacker đang trộm tiền mã hóa và chuyển nhanh hơn, với một quá trình rửa tiền chỉ mất 2 phút 57 giây, theo dữ liệu ngành.

Dữ liệu của Global Ledger cho thấy hacker đã lấy trộm hơn $3 tỷ trong 119 vụ trong nửa đầu năm 2025, với 70% các vụ vi phạm liên quan đến việc chuyển tiền trước khi công khai. Chỉ 4.2% tài sản bị đánh cắp được thu hồi, vì quá trình rửa tiền giờ đây chỉ mất vài giây thay vì hàng giờ, theo báo cáo.

Các tổ chức sử dụng React hoặc Next.js được khuyên vá lỗi ngay lập tức lên các phiên bản 19.0.1, 19.1.2, hoặc 19.2.1, triển khai quy tắc WAF, kiểm tra tất cả các phụ thuộc, giám sát lưu lượng mạng để phát hiện các lệnh wget hoặc cURL do các quá trình máy chủ web khởi tạo, và tìm kiếm các thư mục ẩn hoặc các tấn công cấu hình shell độc hại không được phép, theo các cảnh báo bảo mật.