Selon l’organisation à but non lucratif spécialisée en cybersécurité Security Alliance (SEAL), une recrudescence récente de « crypto drainers » a été récemment observée. Ces outils malveillants sont injectés sur des sites web en exploitant une faille de sécurité dans React, une bibliothèque JavaScript open source largement utilisée.
React est principalement utilisé pour créer des interfaces utilisateurs, notamment pour les applications web. Le 3 décembre, l’équipe React a révélé qu’un chercheur en cybersécurité, Lachlan Davidson, avait découvert une vulnérabilité critique. Celle-ci permet l’exécution de code à distance sans authentification, ouvrant la porte à l’injection et à l’exécution de code malveillant par des attaquants.
D’après SEAL, des acteurs malveillants exploitent cette faille, identifiée sous le nom CVE-2025-55182, pour ajouter discrètement des scripts destinés à vider les portefeuilles crypto sur des sites spécialisés.
« Nous constatons une forte augmentation du nombre de drainers injectés sur des sites crypto légitimes via l’exploitation de cette récente faille React. Tous les sites doivent vérifier IMMÉDIATEMENT leur code front-end afin d’identifier tout élément suspect », alerte l’équipe de SEAL.
« Cette attaque ne vise pas uniquement les protocoles Web3. Tous les sites sont concernés. Les utilisateurs doivent faire preuve d’une extrême prudence avant de signer n’importe quelle autorisation », ajoute l’organisation.
Les « wallet drainers » cherchent généralement à tromper les utilisateurs afin qu’ils signent une transaction frauduleuse. Pour cela, ils utilisent par exemple de fausses fenêtres pop-up promettant des récompenses ou d’autres stratagèmes similaires.
Les sites signalés pour phishing doivent vérifier leur code
Selon SEAL, certains sites affectés ont pu être soudainement signalés comme présentant un risque de phishing, sans raison apparente. L’organisation recommande aux hébergeurs et aux équipes techniques de prendre des mesures immédiates afin de s’assurer qu’aucun drainer caché ne mette les utilisateurs en danger.
« Analysez vos serveurs pour détecter la faille CVE-2025-55182. Vérifiez si votre code front-end charge soudainement des ressources provenant de sources inconnues. Examinez également si certains scripts sont volontairement obscurcis. Enfin, assurez-vous que le portefeuille affiche bien le bon destinataire lors de la demande de signature », recommande SEAL.
« Si votre projet est bloqué ou signalé, cela peut en être la cause. Nous vous invitons à examiner votre code avant de demander la levée d’un avertissement pour page de phishing », précise encore l’équipe.
React déploie un correctif pour la vulnérabilité
L’équipe React a publié un correctif pour la faille CVE-2025-55182 le 3 décembre. Elle recommande à tous les utilisateurs des modules react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack de mettre à jour sans délai afin de combler la brèche de sécurité.
« Si votre application React n’utilise pas de serveur, elle n’est pas concernée par cette vulnérabilité. De même, si votre application n’emploie pas de framework, d’outil de bundling ou de plugin compatible avec les React Server Components, elle n’est pas affectée », précise l’équipe.
