يتم استغلال ثغرة أمنية خطيرة في React Server Components بشكل نشط من قبل مجموعات تهديد متعددة، مما يعرض آلاف مواقع الويب – بما في ذلك منصات العملات المشفرة – لخطر مباشر مع احتمال رؤية المستخدمين لاستنزاف جميع أصولهم، إذا تأثرت.
الثغرة، التي تم تتبعها باسم CVE-2025-55182 والملقبة React2Shell، يسمح للمهاجمين بتنفيذ التعليمات البرمجية عن بعد على الخوادم المتأثرة دون مصادقة. كشف مشرفو React عن المشكلة في 3 ديسمبر وأعطوها أعلى درجة خطورة ممكنة.
بعد وقت قصير من الكشف، لاحظت GTIG استغلالًا واسع النطاق من قبل المجرمين ذوي الدوافع المالية ومجموعات القرصنة المدعومة من الدولة المشتبه بها، والتي تستهدف تطبيقات React وNext.js غير المصححة عبر البيئات السحابية.
مصارف التشفير باستخدام React CVE-2025-55182
نحن نلاحظ ارتفاعًا كبيرًا في عمليات الاستنزاف التي تم تحميلها إلى مواقع الويب الشرعية (المشفرة) من خلال استغلال React CVE الأخير.
يجب على جميع مواقع الويب مراجعة كود الواجهة الأمامية بحثًا عن أي أصول مشبوهة الآن.
– التحالف الأمني (@_SEAL_Org) 13 ديسمبر 2025
ماذا تفعل الضعف
تُستخدم مكونات React Server لتشغيل أجزاء من تطبيق الويب مباشرة على الخادم بدلاً من متصفح المستخدم. تنبع الثغرة الأمنية من كيفية قيام React بفك تشفير الطلبات الواردة إلى هذه الوظائف من جانب الخادم.
بعبارات بسيطة، يمكن للمهاجمين إرسال طلب ويب معد خصيصًا لخداع الخادم لتشغيل أوامر عشوائية، أو تسليم السيطرة على النظام إلى المهاجم بشكل فعال.
يؤثر الخطأ على إصدارات React من 19.0 إلى 19.2.0، بما في ذلك الحزم التي تستخدمها أطر العمل الشائعة مثل Next.js. غالبًا ما يكون مجرد تثبيت الحزم الضعيفة كافيًا للسماح بالاستغلال.
كيف يستخدمه المهاجمون
قامت مجموعة Google Threat Intelligence Group (GTIG) بتوثيق العديد من الحملات النشطة باستخدام الخلل لنشر البرامج الضارة والأبواب الخلفية وبرامج تعدين العملات المشفرة.
بدأ بعض المهاجمين في استغلال الخلل في غضون أيام من الكشف عنه لتثبيت برنامج تعدين Monero. تستهلك هذه الهجمات موارد الخادم والكهرباء بهدوء، مما يؤدي إلى تحقيق أرباح للمهاجمين مع إضعاف أداء النظام للضحايا.
تعتمد منصات العملات المشفرة بشكل كبير على أطر عمل JavaScript الحديثة مثل React وNext.js، وغالبًا ما تتعامل مع تفاعلات المحفظة وتوقيع المعاملات والموافقات على التصاريح من خلال كود الواجهة الأمامية.
إذا تم اختراق موقع ويب، فيمكن للمهاجمين إدخال نصوص برمجية ضارة تعترض تفاعلات المحفظة أو تعيد توجيه المعاملات إلى محافظهم الخاصة – حتى لو ظل بروتوكول blockchain الأساسي آمنًا.
وهذا يجعل الثغرات الأمنية في الواجهة الأمامية خطرة بشكل خاص على المستخدمين الذين يوقعون المعاملات من خلال محافظ المتصفح.
