Para ahli keamanan siber memperingatkan tentang gelombang yang semakin meningkat dari penguras dompet crypto yang secara diam-diam disuntikkan ke situs web yang sah melalui kerentanan yang baru diungkap dalam pustaka JavaScript populer React.
Menurut organisasi nirlaba Security Alliance (SEAL), penyerang secara aktif mengeksploitasi celah kritis di React untuk menanamkan kode jahat yang dapat menguras dompet crypto pengguna — sering kali tanpa disadari pemilik situs web bahwa ada yang salah.
Kerentanan React Memungkinkan Eksekusi Kode Jarak Jauh
Masalah ini, yang dilacak sebagai CVE-2025-55182, diungkapkan pada 3 Des. oleh tim React setelah diidentifikasi oleh peneliti white-hat Lachlan Davidson. Kerentanan ini memungkinkan eksekusi kode jarak jauh tanpa otentikasi, yang berarti penyerang dapat menyuntikkan dan menjalankan kode sembarangan di situs web yang terpengaruh.
React adalah salah satu kerangka kerja front-end yang paling banyak digunakan di dunia, mendukung jutaan aplikasi web — termasuk banyak platform crypto, aplikasi DeFi, dan situs NFT.
SEAL mengatakan bahwa aktor jahat sekarang memanfaatkan celah ini untuk menyuntikkan skrip penguras dompet ke situs web crypto yang seharusnya sah.
“Kami mengamati peningkatan besar dalam penguras yang diunggah ke situs web crypto yang sah melalui eksploitasi CVE React terbaru,” kata tim SEAL.
“Semua situs web harus meninjau kode front-end untuk aset yang mencurigakan SEKARANG.”
Bukan Hanya Web3: Semua Situs Web Berisiko
Sementara platform crypto adalah target utama karena keuntungan finansial, SEAL menekankan bahwa ini tidak terbatas pada proyek Web3.
Situs web mana pun yang menjalankan komponen server React yang rentan dapat terkompromi, mengekspos pengguna pada pop-up jahat atau permintaan tanda tangan yang dirancang untuk menipu mereka agar menyetujui transaksi yang menguras dompet mereka.
Pengguna diimbau untuk sangat berhati-hati saat menandatangani izin atau persetujuan dompet, bahkan di situs yang mereka percayai.
Tanda Peringatan: Bendera Phishing dan Kode yang Disembunyikan
SEAL mencatat bahwa beberapa situs web yang terkena dampak mungkin tiba-tiba menerima peringatan phishing dari browser atau penyedia dompet tanpa alasan yang jelas. Ini bisa menjadi sinyal bahwa kode penguras tersembunyi telah disuntikkan.
Operator situs web disarankan untuk:
Pindai server untuk CVE-2025-55182
Periksa apakah kode front-end memuat aset dari domain yang tidak dikenal
Cari JavaScript yang disembunyikan dalam skrip
Verifikasi bahwa permintaan tanda tangan dompet menunjukkan alamat penerima yang benar
“Jika proyek Anda diblokir, itu mungkin alasannya,” kata SEAL, mendesak pengembang untuk meninjau kode mereka sebelum mengajukan peringatan phishing.
React Mengeluarkan Perbaikan, Mendesak Peningkatan Segera
Tim React telah merilis patch dan sangat merekomendasikan agar pengembang segera melakukan peningkatan jika mereka menggunakan salah satu paket berikut:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
React menjelaskan bahwa aplikasi yang tidak menggunakan Komponen Server React atau kode React sisi server tidak terpengaruh oleh kerentanan ini, menurut Cointelegraph.