Edgen Crypto·Dec 16 2025, 07:22React JavaScript 库中一个关键漏洞(追踪为 CVE-2025-55182 或 React2Shell)正被国家支持的攻击者迅速利用。该漏洞允许远程代码执行,通过恶意软件、后门和加密挖矿威胁加密平台和用户资金。
在流行的 React 用户界面库中发现了一个关键的远程代码执行 (RCE) 漏洞,标识为 CVE-2025-55182,并被命名为 React2Shell。该漏洞的 CVSS 评分为 10.0,影响 React 19.0 到 19.2.0 版本,特别是那些使用 React 服务器组件 (RSC) 的版本。该漏洞延伸到众多依赖框架,包括 Next.js、Waku、React Router 和 RedwoodSDK,显著扩大了潜在的攻击面。
根据 Amazon Web Services (AWS) 的一份报告,攻击始于 12 月 3 日,即漏洞公开披露的同一天。攻击者可以向易受攻击的服务器发送特制 HTTP 请求,从而实现未经身份验证的远程代码执行。这为部署恶意软件、建立后门或利用服务器资源进行加密货币挖矿等活动提供了直接途径。
React2Shell 的迅速利用对 Web3 生态系统构成了直接的财务威胁。使用受影响技术构建的加密平台、交易所和去中心化应用程序 (dApp) 面临高风险。成功的攻击可能导致钱包交互被拦截和用户资金被盗,造成重大财务损失并侵蚀用户信任。
除了直接盗窃,缓解的操作成本也相当可观。组织被迫进行紧急修补,以防止被入侵。该事件强调了软件供应链中固有的系统性风险,其中单个广泛使用的开源库中的漏洞可能对整个数字资产行业产生连锁反应。加密挖矿恶意软件的部署也表明攻击者正在利用受损基础设施进行资源盗窃,这又增加了一层财务损害。
安全专家指出,威胁行为者操作 React2Shell 漏洞的速度前所未有。Suzu Labs 首席运营官 Denis Calderone 表示,武器化时间已大大压缩。
“以前这个时间是以周来衡量的。漏洞披露与我们在野外看到其被利用之间的时间窗口正在从几天缩短到几小时。这才是真正重要的:竞争没有改变,但所有人都变得更快了。”
Deepwatch 网络安全赋能总监 Frankie Sclafani 将这种动员描述为“中国网络间谍生态系统工业化性质”的证据,暗示攻击者在披露后执行预先计划的策略。Black Duck 高级安全解决方案经理 Mike McGuire 强调需要更好地了解软件依赖关系,建议组织必须拥有“基于 SBOM 的可见性”才能迅速做出反应。
此次事件是软件供应链风险的一个典型例子,与 Atlassian 最近修补的 Apache Tika 漏洞等其他普遍存在的库所见问题相似。来自中国、伊朗和朝鲜的多个国家支持实体参与其中,证实了关键漏洞现在是地缘政治网络行动中的关键资产,用于间谍活动、经济利益和破坏。
Google 威胁情报小组 (GTIG) 已将至少五个不同的中国相关组织(包括 UNC6600、UNC6586 和 UNC6588)与 Minocat 隧道和 Compood 后门等多种恶意软件有效载荷的部署联系起来。这种多样化的方法表明这些不是协调攻击,而是广泛的、投机性的冲动,意图在防御建立之前利用关键漏洞。市场的主要启示是,对开源软件的依赖需要强大的快速补丁管理协议,因为漏洞披露与大规模利用之间的差距已有效地缩短为零。