Secondo l’organizzazione no profit di sicurezza informatica Security Alliance (SEAL), si è registrato un recente aumento dei crypto drainer caricati sui siti web tramite una vulnerabilità nella libreria JavaScript open source per il front-end React.
React è utilizzato per la creazione di interfacce utente, in particolare nelle applicazioni web. Il team di React ha rivelato il 3 dicembre che un hacker white hat, Lachlan Davidson, ha individuato una vulnerabilità di sicurezza nel software che consentiva l’esecuzione di codice remoto non autenticato, permettendo a un attaccante di inserire ed eseguire codice arbitrario.
Secondo SEAL, attori malevoli hanno sfruttato la vulnerabilità, identificata come CVE-2025-55182, per aggiungere segretamente codice di wallet-draining ai siti web crypto.
“Stiamo osservando un forte aumento dei drainer caricati su siti web crypto legittimi attraverso lo sfruttamento della recente CVE di React. Tutti i siti dovrebbero verificare immediatamente il codice front-end alla ricerca di eventuali componenti sospetti”, ha dichiarato il team SEAL.
“L'attacco non prende di mira solo i protocolli Web3! Tutti i siti web sono a rischio. Gli utenti devono prestare attenzione quando effettuano QUALSIASI firma autorizzata.”
I drainer-wallet in genere ingannano gli utenti inducendoli a firmare una transazione attraverso metodi quali finte finestre pop-up che offrono ricompense o tattiche simili.
I siti web con avviso di phishing dovrebbero controllare il codice
Secondo il team SEAL, i siti web interessati potrebbero essere stati improvvisamente segnalati come potenziali rischi di phishing, senza alcuna spiegazione. L’organizzazione raccomanda agli host dei siti web di adottare misure preventive per assicurarsi che non siano presenti crypto drainer nascosti che potrebbero mettere a rischio gli utenti.
“Eseguite una scansione dell’host per la CVE-2025-55182. Verificate se il codice front-end sta improvvisamente caricando risorse da host non riconosciuti. Controllate se uno degli script caricati dal front-end è JavaScript offuscato. Verificate inoltre che il wallet mostri il destinatario corretto nella richiesta di firma”, ha affermato il team SEAL.
“Se il vostro progetto viene bloccato, questo potrebbe esserne il motivo. Vi invitiamo a esaminare prima il codice prima di richiedere la rimozione dell’avviso di pagina di phishing”, ha aggiunto il team.
React ha rilasciato una correzione per la vulnerabilità
Il team React ha pubblicato una correzione per CVE-2025-55182 il 3 dicembre e consiglia a chiunque utilizzi react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack di effettuare immediatamente l'aggiornamento e risolvere la vulnerabilità.
“Se il codice React della vostra app non utilizza un server, l’app non è interessata da questa vulnerabilità. Se la vostra app non utilizza un framework, un bundler o un plugin di bundling che supporti i React Server Components, l’app non è interessata da questa vulnerabilità”, ha aggiunto il team di React.
