Theo tổ chức an ninh mạng Security Alliance (SEAL), thời gian gần đây thị trường xuất hiện hiện tượng các mã độc rút ví (crypto drainer) được hacker cài vào nhiều website thông qua một lỗ hổng trong thư viện JavaScript front-end React.
React là một thư viện mã nguồn mở phổ biến, thường được dùng để xây dựng giao diện người dùng (UI), đặc biệt trong các ứng dụng web. Vào ngày 3/12, đội ngũ React xác nhận rằng Lachlan Davidson, một hacker mũ trắng, đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong phần mềm của họ. Lỗ hổng này cho phép thực thi code từ xa mà không cần xác thực, tạo điều kiện cho kẻ tấn công tự do chèn và chạy mã độc.
Theo SEAL, tin tặc đang tích cực khai thác lỗ hổng (có tên CVE-2025-55182) này, âm thầm cài cắm các drainer rút ví người dùng vào các website crypto.
"Mã độc drainer đang được được tải lên các website crypto chính thống thông qua việc khai thác lỗ hổng React mới này. Mọi trang web cần rà soát lại mã nguồn front-end để tìm các tài nguyên đáng ngờ NGAY LẬP TỨC," SEAL cho biết.
Các giao thức Web3 không phải là nạn nhân duy nhất trong vụ này. Mọi website đều đang bị tấn công. Người dùng cần cảnh giác khi ký BẤT KỲ chữ ký cấp quyền nào liên quan đến ví và token trong ví."
Các loại mã độc này thường sử dụng thủ thuật để lừa người dùng ký xác nhận giao dịch, như hiển thị các pop-up trúng thưởng hoặc các chiêu trò dẫn dụ tương tự.
Website dính cảnh báo phishing cần rà soát ngay mã nguồn
Theo SEAL Team, nếu một website bỗng nhiên bị flag là rủi ro lừa đảo mà không có lời giải thích, rất có thể trang đó đã bị dính mã độc. Họ khuyến nghị các chủ sở hữu website thực hiện ngay các biện pháp phòng ngừa để đảm bảo không có drainer ẩn nào đang đe dọa người dùng.
“Hãy kiểm tra máy chủ xem có lỗ hổng CVE-2025-55182 không. Kiểm tra mã nguồn front-end xem có đang tải tài nguyên từ các máy chủ lạ hay không. Check xem có đoạn mã JavaScript nào bị làm mờ/mã hóa không. Xác nhận xem ví có hiển thị đúng địa chỉ người nhận khi yêu cầu ký chữ ký hay không,” SEAL khuyến nghị.
Tin liên quan: Chiêu trò hack crypto “fake Zoom” Triều Tiên giờ là mối đe dọa hàng ngày: Báo cáo từ SEAL
Họ nhấn mạnh thêm: "Nếu dự án của bạn bị chặn truy cập, đây có thể là nguyên nhân chính. Hãy kiểm tra kỹ code trước khi gửi yêu cầu gỡ bỏ cảnh báo phishing."
React đã tung bản vá lỗi
Đội ngũ React đã phát hành bản vá cho lỗ hổng CVE-2025-55182 vào ngày 3/12. Họ khuyến cáo bất kỳ ai đang sử dụng react-server-dom-webpack, react-server-dom-parcel, hoặc react-server-dom-turbopack cần cập nhật bản vá ngay lập tức để bịt lỗ hổng.
Đội ngũ phát triển cũng làm rõ phạm vi ảnh hưởng: "Nếu code React trong ứng dụng của bạn không sử dụng server, bạn sẽ không bị ảnh hưởng. Tương tự, nếu ứng dụng không dùng framework, bundler, hoặc bundler plugin hỗ trợ React Server Components, bạn cũng an toàn trước lỗ hổng này."
Tạp chí: Thám tử onchain: Tìm ra tội phạm nhanh hơn cảnh sát
