Ein kritischer React Server Components RCE-Bug wird derzeit genutzt, um Server zu kapern, Krypto-Wallets zu leeren, Monero-Miner zu installieren und eine $3B 2025-Diebstahlswelle zu vertiefen, trotz dringender Patch-Aufrufe.
Zusammenfassung
- Security Alliance und Google TIG sagen, dass Angreifer CVE-2025-55182 in React Server Components ausnutzen, um beliebigen Code auszuführen, Berechtigungssignaturen zu stehlen und Krypto-Wallets zu leeren.
- Vercel, Meta und Framework-Teams haben Patches und WAF-Regeln schnell bereitgestellt, aber Forscher haben zwei neue RSC-Fehler entdeckt und warnen, dass Risiken in der JavaScript-Lieferkette wie der Josh Goldberg npm-Hack bestehen bleiben.
- Global Ledger berichtet über $3B gestohlene Gelder in 119 Hacks im ersten Halbjahr 2025, wobei Gelder in Minuten mit Bridges und Privacy-Coins wie Monero gewaschen wurden, und nur 4,2 % wiedergefunden wurden.
Eine kritische Sicherheitslücke in React Server Components hat dringende Warnungen in der Kryptowährungsbranche ausgelöst, da Bedrohungsakteure die Schwachstelle ausnutzen, um Wallets zu leeren und Malware zu verteilen, so Security Alliance.
Security Alliance gab bekannt, dass Krypto-Diebe CVE-2025-55182 aktiv ausnutzen und fordert alle Websites auf, sofort ihren Front-End-Code auf verdächtige Assets zu überprüfen. Die Schwachstelle betrifft nicht nur Web3-Protokolle, sondern alle Websites, die React verwenden, wobei Angreifer Berechtigungssignaturen plattformübergreifend ins Visier nehmen.
Benutzer sind beim Signieren von Transaktionen gefährdet, da bösartiger Code Wallet-Kommunikationen abfängt und Gelder an vom Angreifer kontrollierte Adressen umleitet, so Sicherheitsexperten.
Das offizielle React-Team veröffentlichte CVE-2025-55182 am 3. Dezember und bewertete es mit CVSS 10.0 nach einem Bericht von Lachlan Davidson vom 29. November im Meta Bug Bounty. Die nicht authentifizierte Remote-Code-Ausführung nutzt die Art, wie React Nutzlasten an Server-Funktion-Endpunkte dekodiert, aus und ermöglicht es Angreifern, bösartige HTTP-Anfragen zu erstellen, die beliebigen Code auf Servern ausführen, so die Offenlegung.
Neue React-Versionen
Der Fehler betrifft React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 in den Paketen react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack. Wichtige Frameworks wie Next.js, React Router, Waku und Expo benötigen sofortige Updates, so die Warnung.
Patches wurden in den Versionen 19.0.1, 19.1.2 und 19.2.1 veröffentlicht, wobei Next.js-Nutzer auf mehreren Release-Linien von 14.2.35 bis 16.0.10 upgraden müssen, so die Release-Notes.
Forscher haben bei Versuchen, die Patches auszunutzen, zwei neue Schwachstellen in React Server Components entdeckt, so Berichte. Diese sind neue Probleme, getrennt von der kritischen CVE. Das Patch für React2Shell bleibt wirksam gegen die Remote-Code-Ausführung, erklärten die Forscher.
Vercel hat Web Application Firewall-Regeln implementiert, um Projekte auf seiner Plattform automatisch zu schützen, betonte das Unternehmen. Allerdings sei der Schutz durch WAF allein unzureichend. Sofortige Upgrades auf eine gepatchte Version seien notwendig, so Vercel in seinem Sicherheitsbulletin vom 3. Dezember, und die Schwachstelle betrifft Anwendungen, die untrusted input verarbeiten und so Remote-Code-Ausführung ermöglichen.
Google Threat Intelligence Group dokumentierte weitverbreitete Angriffe ab dem 3. Dezember, bei denen kriminelle Gruppen von opportunistischen Hackern bis hin zu staatlich unterstützten Operationen aktiv waren. Chinesische Hackergruppen installierten verschiedene Malware-Typen auf kompromittierten Systemen, hauptsächlich Cloud-Servern bei Amazon Web Services und Alibaba Cloud, so der Bericht.
Diese Angreifer nutzten Techniken, um langfristigen Zugriff auf die Opfer-Systeme zu behalten, so Google Threat Intelligence Group. Einige Gruppen installierten Software, die Remote-Zugänge schafft, andere setzten Programme ein, die kontinuierlich zusätzliche bösartige Tools herunterladen, getarnt als legitime Dateien. Die Malware versteckt sich in Systemordnern und startet automatisch neu, um Erkennung zu vermeiden, berichteten Forscher.
Finanziell motivierte Kriminelle schlossen sich ab dem 5. Dezember der Angriffswelle an, installierten Krypto-Mining-Software, die die Rechenleistung der Opfer nutzt, um Monero zu generieren, so Sicherheitsexperten. Diese Miner laufen ständig im Hintergrund, erhöhen die Stromkosten und generieren Gewinne für die Angreifer. Untergrund-Hacking-Foren füllten sich schnell mit Diskussionen über Angriffswerkzeuge und Exploitation-Erfahrungen, beobachteten Forscher.
Die React-Schwachstelle folgt einem Angriff vom 8. September, bei dem Hacker den npm-Account von Josh Goldberg kompromittierten und bösartige Updates für 18 weit verbreitete Pakete veröffentlichten, darunter chalk, debug und strip-ansi. Diese Utilities verzeichnen zusammen über 2,6 Milliarden Downloads pro Woche, und Forscher haben Crypto-Clipper-Malware entdeckt, die Browser-Funktionen abfängt, um legitime Wallet-Adressen durch vom Angreifer kontrollierte zu ersetzen.
Ledger-CTO Charles Guillemet bezeichnete diesen Vorfall als „groß angelegten Supply-Chain-Angriff“ und riet Nutzern ohne Hardware-Wallets, On-Chain-Transaktionen zu vermeiden. Die Angreifer erlangten Zugriff durch Phishing-Kampagnen, die sich als npm-Support ausgaben und behaupteten, Konten würden gesperrt, wenn die Zwei-Faktor-Authentifizierung bis zum 10. September nicht aktualisiert werde, so Guillemet.
Hacker stehlen Kryptowährungen und transferieren sie schneller, wobei ein Waschprozess angeblich nur 2 Minuten 57 Sekunden dauert, so Branchen-Daten.
Daten von Global Ledger zeigen, dass Hacker im ersten Halbjahr 2025 über $3 Milliarden gestohlen haben, bei 119 Vorfällen, wobei 70 % der Gelder vor Bekanntwerden der Hacks bewegt wurden. Nur 4,2 % der gestohlenen Assets wurden wiedergefunden, da das Waschen jetzt Sekunden statt Stunden dauert, so der Bericht.
Organisationen, die React oder Next.js verwenden, werden geraten, sofort auf Versionen 19.0.1, 19.1.2 oder 19.2.1 zu aktualisieren, WAF-Regeln zu implementieren, alle Abhängigkeiten zu prüfen, den Netzwerkverkehr auf wget- oder cURL-Befehle zu überwachen, die von Webserver-Prozessen initiiert werden, und nach unautorisierten versteckten Verzeichnissen oder bösartigen Shell-Konfigurationsinjektionen zu suchen, so Sicherheitswarnungen.
