حذّرت منظمة Security Alliance المُرمزة (SEAL) غير الربحية المتخصصة في الأمن السيبراني من ارتفاع ملحوظ في حوادث زرع أدوات استنزاف المحافظ المشفرة داخل مواقع إلكترونية، عبر استغلال ثغرة أمنية في مكتبة JavaScript مفتوحة المصدر للواجهات الأمامية React.
وتُستخدم React على نطاق واسع لبناء واجهات المستخدم، ولا سيما في تطبيقات الويب. وكان فريق React قد كشف في 3 ديسمبر أن باحثاً أمنياً يعمل بنهج “القبعة البيضاء”، يُدعى لاكلان ديفيدسون، اكتشف ثغرة أمنية في البرنامج تتيح تنفيذ تعليمات برمجية عن بُعد من دون مصادقة، ما يسمح للمهاجمين بإدخال وتشغيل شيفرتهم الخاصة.
وبحسب SEAL، استغل فاعلون خبيثون هذه الثغرة، المعروفة بالرمز CVE-2025-55182، لإضافة شيفرات خفية تستنزف المحافظ الرقمية داخل مواقع عملات مشفرة.
وقالت المنظمة: “نرصد زيادة كبيرة في أدوات الاستنزاف التي يتم تحميلها إلى مواقع مشفرة شرعية عبر استغلال ثغرة React الأخيرة. يجب على جميع المواقع مراجعة الشيفرة الأمامية فوراً بحثاً عن أي أصول مشبوهة”.
وأضافت: “الهجوم لا يستهدف بروتوكولات Web3 فقط. جميع المواقع معرضة للخطر. وينبغي على المستخدمين توخي الحذر عند توقيع أي إذن أو توقيع من أي نوع”.
وعادةً ما تعتمد أدوات استنزاف المحافظ على خداع المستخدمين ودفعهم إلى توقيع معاملة، عبر أساليب مثل نوافذ منبثقة وهمية تعد بمكافآت أو وسائل احتيالية مشابهة.
مواقع تحمل تحذيرات تصيّد مطالَبة بمراجعة الشيفرة
أشارت SEAL إلى أن بعض المواقع المتأثرة قد تُصنَّف فجأة كمواقع تصيّد محتملة من دون تفسير واضح، داعيةً مشغلي المواقع إلى اتخاذ احتياطات عاجلة للتأكد من خلو الشيفرة من أدوات استنزاف خفية قد تعرّض المستخدمين للخطر.
وأوصت المنظمة بما يلي: “افحص الخوادم بحثاً عن الثغرة CVE-2025-55182. تحقق مما إذا كانت الشيفرة الأمامية تقوم بتحميل أصول من مصادر غير معروفة. راجع ما إذا كانت أي من السكربتات محمّلة بصيغة JavaScript مُموّهة. وتأكد من أن المحفظة تعرض الجهة المستلمة الصحيحة عند طلب توقيع المعاملة”.
وأضافت: “إذا كان مشروعك يتعرض للحظر، فقد يكون هذا هو السبب. يرجى مراجعة الشيفرة أولاً قبل طلب إزالة تحذير صفحة التصيّد”.
إصدار إصلاح رسمي للثغرة
أعلن فريق React أنه أصدر إصلاحاً للثغرة CVE-2025-55182 في 3 ديسمبر، ودعا جميع المستخدمين الذين يعتمدون على react-server-dom-webpack أو react-server-dom-parcel أو react-server-dom-turbopack إلى التحديث الفوري لسد الثغرة.
وأضاف الفريق: “إذا كان تطبيقك لا يستخدم كود React من جهة الخادم، فهو غير متأثر بهذه الثغرة. كما أن التطبيقات التي لا تعتمد على إطار عمل أو أداة تجميع أو إضافة تجميع تدعم مكونات React الخادمية ليست معرضة لهذه المشكلة”.