React：Các hacker đã cấy mã độc trộm tiền mã hóa vào trang web thông qua thư viện JavaScript, đã phát hành bản vá

Techub News tin tức, theo Cointelegraph đưa tin, tổ chức phi lợi nhuận về an ninh mạng Security Alliance (SEAL) tiết lộ, gần đây các cuộc tấn công sử dụng lỗ hổng trong thư viện JavaScript frontend mã nguồn mở React để cấy mã trộm tiền điện tử đã có xu hướng gia tăng. React chủ yếu được sử dụng để xây dựng giao diện người dùng, đặc biệt phổ biến trong lĩnh vực ứng dụng Web. Nhóm phát triển React đã công bố vào ngày 3 tháng 12 rằng, hacker mũ trắng Lachlan Davidson đã phát hiện ra lỗ hổng bảo mật trong phần mềm này, cho phép thực thi mã từ xa không xác thực, qua đó kẻ tấn công có thể cấy và chạy mã độc. SEAL chỉ ra rằng, các phần tử độc hại đang lợi dụng lỗ hổng (mã CVE-2025-55182) để âm thầm cấy mã xóa sạch ví tiền trên các trang web tiền điện tử.

React đã phát hành bản vá lỗ hổng CVE-2025-55182 vào ngày 3 tháng 12, và khuyên tất cả người dùng sử dụng react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack ngay lập tức nâng cấp để loại bỏ lỗ hổng này. Nhóm bổ sung giải thích: “Nếu mã React của ứng dụng không sử dụng thành phần phía máy chủ, thì không bị ảnh hưởng bởi lỗ hổng này; nếu ứng dụng không sử dụng framework, công cụ đóng gói hoặc plugin hỗ trợ thành phần phía máy chủ của React, thì cũng không bị ảnh hưởng.”