Uma falha crítica no ecossistema do React, uma biblioteca JavaScript bem popular para criar interfaces de usuário em sites, ficou em evidência recentemente. Esse problema já é utilizado em ataques ao redor do mundo e merece nossa atenção, especialmente nas plataformas de criptomoedas. Uma brecha dessa natureza pode significar perdas financeiras significativas para os usuários.
Identificada como CVE-2025-55182, a vulnerabilidade também é chamada de React2Shell. Ela permite que invasores ganhem acesso remoto aos servidores sem precisar de qualquer tipo de autenticação. Essa falha foi divulgada no início de dezembro e recebeu a classificação máxima de risco, indicando que o potencial de exploração é alto e o impacto pode ser amplo.
Os especialistas perceberam que, logo após a divulgação, ataques começaram a acontecer. Em poucos dias, a equipe do Google Threat Intelligence Group (GTIG) já havia identificado ataques a aplicações que usam React e Next.js sem as devidas correções, especialmente em ambientes de nuvem.
A origem da brecha
O cerne da questão está nos React Server Components. Essa tecnologia possibilita que parte da lógica da aplicação seja executada diretamente no servidor. No entanto, uma falha no processamento dessas requisições permite que comandos externos sejam executados de forma inadequada, dando aos atacantes a liberdade de manipular o sistema.
As versões do React afetadas vão da 19.0 até a 19.2.0, incluindo diversas bibliotecas comuns em frameworks modernos. Em muitos casos, apenas utilizar essas versões já expõe a aplicação ao risco, mesmo que não haja configurações complexas.
O GTIG revelou que essa falha vem sendo usada em diferentes campanhas maliciosas. Os ataques mais notáveis incluem a instalação de backdoors, malware persistente e a introdução de softwares de mineração de criptomoedas. Um exemplo claro são os ataques que exploram servidores para minerar Monero de forma discreta.
No mundo das criptomoedas, essa situação é ainda mais delicada. Muitas plataformas utilizam React e Next.js para realizar interações críticas, como conectar-se a carteiras digitais, autorizar e assinar transações. Quando o front-end é comprometido, os atacantes podem injetar códigos maliciosos que desviam transferências ou manipulam aprovações, tudo sem o usuário perceber.
Essas informações são essenciais para quem navega nesse universo digital e está sempre em busca de segurança e proteção para seus investimentos.
