Edgen Crypto·Dec 16 2025, 07:22React JavaScript 函式庫中一個關鍵漏洞(追蹤為 CVE-2025-55182 或 React2Shell)正被國家支持的攻擊者迅速利用。該漏洞允許遠端程式碼執行,透過惡意軟體、後門和加密挖礦威脅加密平台和使用者資金。
在流行的 React 使用者介面函式庫中發現了一個關鍵的遠端程式碼執行 (RCE) 漏洞,識別為 CVE-2025-55182,並被命名為 React2Shell。該漏洞的 CVSS 評分為 10.0,影響 React 19.0 到 19.2.0 版本,特別是那些使用 React 伺服器組件 (RSC) 的版本。該漏洞延伸到眾多依賴框架,包括 Next.js、Waku、React Router 和 RedwoodSDK,顯著擴大了潛在的攻擊面。
根據 Amazon Web Services (AWS) 的一份報告,攻擊始於 12 月 3 日,即漏洞公開披露的同一天。攻擊者可以向易受攻擊的伺服器發送特製 HTTP 請求,從而實現未經身份驗證的遠端程式碼執行。這為部署惡意軟體、建立後門或利用伺服器資源進行加密貨幣挖礦等活動提供了直接途徑。
React2Shell 的迅速利用對 Web3 生態系統構成了直接的財務威脅。使用受影響技術建置的加密平台、交易所和去中心化應用程式 (dApp) 面臨高風險。成功的攻擊可能導致錢包互動被攔截和使用者資金被盜,造成重大財務損失並侵蝕使用者信任。
除了直接盜竊,緩解的操作成本也相當可觀。組織被迫進行緊急修補,以防止被入侵。該事件強調了軟體供應鏈中固有的系統性風險,其中單個廣泛使用的開源函式庫中的漏洞可能對整個數位資產行業產生連鎖反應。加密挖礦惡意軟體的部署也表明攻擊者正在利用受損基礎設施進行資源盜竊,這又增加了一層財務損害。
安全專家指出,威脅行為者操作 React2Shell 漏洞的速度前所未有。Suzu Labs 營運長 Denis Calderone 表示,武器化時間已大大壓縮。
「以前這個時間是以週來衡量的。漏洞披露與我們在野外看到其被利用之間的時間視窗正在從幾天縮短到幾小時。這才是真正重要的:競爭沒有改變,但所有人都變得更快了。」
Deepwatch 網路安全賦能總監 Frankie Sclafani 將這種動員描述為「中國網路間諜生態系統工業化性質」的證據,暗示攻擊者在披露後執行預先計劃的策略。Black Duck 高級安全解決方案經理 Mike McGuire 強調需要更好地了解軟體依賴關係,建議組織必須擁有「基於 SBOM 的可見性」才能迅速做出反應。
此次事件是軟體供應鏈風險的一個典型例子,與 Atlassian 最近修補的 Apache Tika 漏洞等其他普遍存在的函式庫所見問題相似。來自中國、伊朗和朝鮮的多個國家支持實體參與其中,證實了關鍵漏洞現在是地緣政治網路行動中的關鍵資產,用於間諜活動、經濟利益和破壞。
Google 威脅情報小組 (GTIG) 已將至少五個不同的中國相關組織(包括 UNC6600、UNC6586 和 UNC6588)與 Minocat 隧道和 Compood 後門等多種惡意軟體有效負載的部署聯繫起來。這種多樣化的方法表明這些不是協調攻擊,而是廣泛的、投機性的衝動,意圖在防禦建立之前利用關鍵漏洞。市場的主要啟示是,對開源軟體的依賴需要強大而快速的補丁管理協議,因為漏洞披露與大規模利用之間的差距已有效地縮短為零。