Хакеры нацелились на разработчиков, используя критическую уязвимость CVE-2025-11953 в сервере Metro для React Native для доставки вредоносных полезных нагрузок для Windows и Linux.
В Windows неаутентифицированный злоумышленник может использовать проблему безопасности для выполнения произвольных команд ОС посредством POST-запроса. В Linux и macOS уязвимость может привести к запуску произвольных исполняемых файлов с ограниченным контролем параметров.
Metro — это стандартный бандлер JavaScript для проектов React Native, и он необходим для сборки и запуска приложений на этапе разработки.
По умолчанию Metro может подключаться к внешним сетевым интерфейсам и предоставлять HTTP-конечные точки только для разработки (/open-url) для локального использования во время разработки.
Исследователи из компании по безопасности цепочек поставок программного обеспечения JFrog обнаружили эту уязвимость и сообщили о ней в начале ноября. После публичного раскрытия появилось несколько эксплойтов с доказательством концепции.
В своем сообщении того времени они заявили, что проблема заключалась в том, что конечная точка HTTP /open-url принимала POST-запросы, содержащие предоставленный пользователем URL-адрес, который мог быть передан без санитарной обработки в функцию ‘open()’.
Уязвимость затрагивает версии @react-native-community/cli-server-api с 4.8.0 по 20.0.0-alpha.2 и была исправлена в версии 20.0.0 и более поздних.
21 декабря 2025 года компания VulnCheck, специализирующаяся на анализе уязвимостей, зафиксировала, что злоумышленник эксплуатирует CVE-2025-11953, получившую название Metro4Shell. Активность продолжалась доставкой тех же полезных нагрузок 4 и 21 января.
«Эксплуатация привела к доставке продвинутых полезных нагрузок как на Linux, так и на Windows, демонстрируя, что Metro4Shell предоставляет практичный, кроссплатформенный механизм первоначального доступа» — VulnCheck
Во всех трех атаках исследователи наблюдали доставку одинаковых закодированных в base-64 PowerShell-нагрузок, скрытых в теле HTTP POST вредоносных запросов, достигающих открытых конечных точек.
После декодирования и запуска полезные нагрузки выполняют следующие действия:
- Отключают защиту конечных точек, добавляя пути исключений Microsoft Defender для текущего рабочего каталога и системного временного каталога с помощью Add-MpPreference.
- Устанавливают прямое TCP-соединение с инфраструктурой, контролируемой злоумышленником, и отправляют GET /windows запрос для получения полезной нагрузки следующего этапа.
- Записывают полученные данные на диск в виде исполняемого файла во временный каталог системы.
- Выполняют загруженный бинарный файл с большой строкой аргументов, предоставленной злоумышленником.
Windows-нагрузка, полученная в ходе этих атак, представляет собой бинарный файл на основе Rust, упакованный UPX, с базовой логикой противодействия анализу. Та же инфраструктура размещала соответствующий бинарный файл «linux», что указывает на то, что атаки охватывают обе платформы.
По данным сканирования с использованием поисковой системы ZoomEye для подключенных устройств, сервисов и веб-приложений, в Интернете доступно около 3500 серверов React Native Metro.
Несмотря на то, что активная эксплуатация наблюдается более месяца, уязвимость по-прежнему имеет низкий балл в Exploit Prediction Scoring System (EPSS) — системе оценки рисков, которая оценивает вероятность эксплуатации проблемы безопасности.
«Организации не могут позволить себе ждать включения в список CISA KEV, отчетов поставщиков или широкого консенсуса, прежде чем предпринимать действия», — говорят исследователи.
Отчет VulnCheck включает индикаторы компрометации (IoC) для сетевой инфраструктуры злоумышленника, а также для Windows и Linux-нагрузок.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
