Error en React desencadena ataques que vacían carteras mientras los hackers atacan sitios web de criptomonedas

Un error crítico de RCE en React Server Components está siendo utilizado como arma para secuestrar servidores, vaciar carteras de criptomonedas, plantar mineros de Monero y profundizar una ola de robos en $3B 2025 a pesar de las solicitudes urgentes de parcheo.​

Resumen

• La Alianza de Seguridad y Google TIG dicen que los atacantes explotan CVE-2025-55182 en React Server Components para ejecutar código arbitrario, robar firmas de permisos y vaciar carteras de criptomonedas.
• Vercel, Meta y los equipos de frameworks lanzaron parches y reglas WAF rápidamente, pero investigadores encontraron dos nuevas vulnerabilidades en RSC y advierten que persisten riesgos en la cadena de suministro de JavaScript, como el hackeo npm de Josh Goldberg.
• Global Ledger reporta más de $3B mil millones robados en 119 hackeos en la primera mitad de 2025, con fondos lavados en minutos usando puentes y monedas de privacidad como Monero, y solo el 4.2% recuperado.

Una vulnerabilidad de seguridad crítica en React Server Components ha provocado advertencias urgentes en toda la industria de las criptomonedas, ya que actores maliciosos explotan la falla para vaciar carteras y desplegar malware, según la Alianza de Seguridad.

La Alianza de Seguridad anunció que los ladrones de criptomonedas están activamente utilizando CVE-2025-55182, instando a todos los sitios web a revisar inmediatamente su código front-end en busca de activos sospechosos. La vulnerabilidad afecta no solo a los protocolos Web3 sino a todos los sitios que usan React, con atacantes apuntando a firmas de permisos en varias plataformas.

Los usuarios enfrentan riesgos al firmar transacciones, ya que código malicioso intercepta las comunicaciones de la cartera y redirige fondos a direcciones controladas por atacantes, según investigadores de seguridad.

El equipo oficial de React divulgó CVE-2025-55182 el 3 de diciembre, calificándola como CVSS 10.0 tras el informe de Lachlan Davidson del 29 de noviembre a través del programa de recompensas de errores de Meta. La vulnerabilidad de ejecución remota de código no autenticada explota cómo React decodifica las cargas útiles enviadas a los endpoints de Funciones del Servidor, permitiendo a los atacantes crear solicitudes HTTP maliciosas que ejecutan código arbitrario en los servidores, según la divulgación.

Nuevas versiones de React

El fallo afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de React en los paquetes react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack. Los frameworks principales, incluyendo Next.js, React Router, Waku y Expo, requieren actualizaciones inmediatas, según el aviso.

Los parches llegaron en las versiones 19.0.1, 19.1.2 y 19.2.1, y los usuarios de Next.js necesitan actualizar en varias ramas desde 14.2.35 hasta 16.0.10, según las notas de lanzamiento.

Investigadores han encontrado dos nuevas vulnerabilidades en React Server Components mientras intentaban explotar los parches, según informes. Estas son nuevas fallas, separadas de la CVE crítica. El parche para React2Shell sigue siendo efectivo contra la explotación de Ejecución Remota de Código, afirmaron los investigadores.

Vercel implementó reglas de WAF para proteger automáticamente los proyectos en su plataforma, aunque la compañía enfatizó que la protección WAF por sí sola sigue siendo insuficiente. Se requiere actualizar inmediatamente a una versión parchada, declaró Vercel en su boletín de seguridad del 3 de diciembre, añadiendo que la vulnerabilidad afecta aplicaciones que procesan entradas no confiables de formas que permiten la ejecución remota de código.

El Grupo de Inteligencia de Amenazas de Google documentó ataques generalizados que comenzaron el 3 de diciembre, rastreando grupos criminales que van desde hackers oportunistas hasta operaciones respaldadas por gobiernos. Grupos de hackers chinos instalaron varios tipos de malware en sistemas comprometidos, principalmente apuntando a servidores en la nube en Amazon Web Services y Alibaba Cloud, según el informe.

Estos atacantes emplearon técnicas para mantener acceso a largo plazo a los sistemas víctimas, según el Grupo de Inteligencia de Amenazas de Google. Algunos grupos instalaron software que crea túneles de acceso remoto, mientras otros desplegaron programas que descargan continuamente herramientas maliciosas adicionales disfrazadas de archivos legítimos. El malware se oculta en carpetas del sistema y se reinicia automáticamente para evitar detección, reportaron los investigadores.

Criminales motivados financieramente se unieron a la ola de ataques a partir del 5 de diciembre, instalando software de minería de criptomonedas que usa la potencia de cálculo de las víctimas para generar Monero, según investigadores de seguridad. Estos mineros funcionan constantemente en segundo plano, aumentando los costos de electricidad y generando ganancias para los atacantes. Los foros clandestinos de hacking rápidamente se llenaron de discusiones compartiendo herramientas de ataque y experiencias de explotación, observaron los investigadores.

La vulnerabilidad en React sigue a un ataque el 8 de septiembre en el que hackers comprometieron la cuenta npm de Josh Goldberg y publicaron actualizaciones maliciosas en 18 paquetes ampliamente utilizados, incluyendo chalk, debug y strip-ansi. Estas utilidades en conjunto superan los 2.6 mil millones de descargas semanales, y los investigadores descubrieron malware crypto-clipper que intercepta funciones del navegador para intercambiar direcciones de billeteras legítimas por otras controladas por atacantes.

El CTO de Ledger, Charles Guillemet, describió ese incidente como un “ataque a gran escala en la cadena de suministro”, aconsejando a los usuarios sin carteras hardware que eviten transacciones en la cadena. Los atacantes accedieron mediante campañas de phishing que se hacían pasar por soporte de npm, afirmando que las cuentas serían bloqueadas a menos que las credenciales de autenticación de dos factores se actualizaran antes del 10 de septiembre, según Guillemet.

Los hackers están robando criptomonedas y moviéndolas más rápido, con un proceso de lavado que supuestamente toma solo 2 minutos y 57 segundos, según datos de la industria.

Los datos de Global Ledger muestran que los hackers robaron más de $3 mil millones en 119 incidentes en la primera mitad de 2025, con el 70% de las brechas involucrando fondos que se movieron antes de hacerse públicos. Solo el 4.2% de los activos robados fueron recuperados, ya que el lavado ahora toma segundos en lugar de horas, según el informe.

Se recomienda a las organizaciones que usan React o Next.js que apliquen parches inmediatamente a las versiones 19.0.1, 19.1.2 o 19.2.1, implementen reglas WAF, auditen todas las dependencias, monitoreen el tráfico de red en busca de comandos wget o cURL iniciados por procesos del servidor web, y busquen directorios ocultos no autorizados o inyecciones maliciosas en la configuración del shell, según los avisos de seguridad.