모든 토큰을 고갈시킬 수 있는 새로운 React 버그가 ‘수천 개의’ 웹사이트에 영향을 미치고 있습니다.
공격자들은 이 취약점을 이용해 맬웨어 및 암호화폐 채굴 소프트웨어를 배포하여 서버 리소스를 손상시키고 암호화폐 플랫폼에서 지갑 상호 작용을 가로챌 가능성이 있습니다.
업데이트됨 2025년 12월 16일 오전 5:25 게시일: 2025년 12월 16일, 오전 5:25
에이 심각한 취약점 React Server 구성 요소는 여러 위협 그룹에 의해 적극적으로 악용되어 암호화 플랫폼을 포함한 수천 개의 웹 사이트를 즉각적인 위험에 빠뜨리고 사용자는 영향을 받을 경우 모든 자산이 고갈될 수 있습니다.
이 결함은 CVE-2025-55182로 추적되고 별명이 붙었습니다. React2Shell를 사용하면 공격자가 인증 없이 영향을 받는 서버에서 원격으로 코드를 실행할 수 있습니다. React의 유지관리자는 12월 3일에 이 문제를 공개하고 가능한 가장 높은 심각도 점수를 할당했습니다.
공개 직후 GTIG는 클라우드 환경 전반에서 패치되지 않은 React 및 Next.js 애플리케이션을 표적으로 삼아 금전적인 동기를 지닌 범죄자와 국가 지원 해킹 그룹으로 의심되는 사람들이 광범위하게 악용하는 것을 목격했습니다.
로드 중…
취약점의 역할
React Server 구성 요소는 사용자 브라우저 대신 서버에서 직접 웹 애플리케이션의 일부를 실행하는 데 사용됩니다. 취약점은 React가 이러한 서버 측 기능에 대한 수신 요청을 디코딩하는 방식에서 발생합니다.
간단히 말해서, 공격자는 서버를 속여 임의의 명령을 실행하도록 하거나 시스템 제어권을 공격자에게 효과적으로 넘겨주는 특수 제작된 웹 요청을 보낼 수 있습니다.
이 버그는 Next.js와 같은 널리 사용되는 프레임워크에서 사용되는 패키지를 포함하여 React 버전 19.0~19.2.0에 영향을 미칩니다. 취약한 패키지를 설치하는 것만으로도 악용이 허용되는 경우가 많습니다.
공격자가 이를 사용하는 방법
Google Threat Intelligence Group(GTIG)은 이 결함을 사용하여 악성 코드, 백도어 및 암호화폐 채굴 소프트웨어를 배포하는 여러 활성 캠페인을 문서화했습니다.
일부 공격자들은 공개된 지 며칠 만에 이 결함을 악용하여 Monero 채굴 소프트웨어를 설치하기 시작했습니다. 이러한 공격은 조용히 서버 리소스와 전력을 소비하여 공격자에게는 이익을 제공하는 반면 피해자에게는 시스템 성능을 저하시킵니다.
암호화폐 플랫폼은 React 및 Next.js와 같은 최신 JavaScript 프레임워크에 크게 의존하며 종종 지갑 상호 작용, 트랜잭션 서명 및 프런트 엔드 코드를 통한 승인 승인을 처리합니다.
웹 사이트가 손상된 경우 공격자는 지갑 상호 작용을 가로채거나 거래를 자신의 지갑으로 리디렉션하는 악성 스크립트를 삽입할 수 있습니다. 이는 기본 블록체인 프로토콜이 안전하게 유지되는 경우에도 마찬가지입니다.
이는 브라우저 지갑을 통해 거래에 서명하는 사용자에게 프런트 엔드 취약점을 특히 위험하게 만듭니다.
당신을 위한 더 많은 것
프로토콜 연구: GoPlus 보안
알아야 할 사항:
- 2025년 10월 현재 GoPlus는 제품군 전반에 걸쳐 총 470만 달러의 수익을 창출했습니다. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence의 토큰 보안 API는 2025년 현재까지 월간 호출 평균 7억 1,700만 건을 기록했으며, 2025년 2월에는 거의 10억 건의 호출로 최고치를 기록했습니다. 거래 시뮬레이션을 포함한 총 블록체인 수준 요청은 월 평균 3억 5,000만 건에 달했습니다.
- 2025년 1월 출시 이후 $GPS 토큰은 2025년 총 현물 거래량 50억 달러 이상, 파생상품 거래량 100억 달러 이상을 기록했습니다. 월간 현물 거래량은 2025년 3월 11억 달러 이상으로 정점을 찍었고 파생상품 거래량은 같은 달 40억 달러 이상으로 최고치를 기록했습니다.
당신을 위한 더 많은 것
