Злоумышленники используют критическую уязвимость в сервере разработки Metro для React Native для доставки вредоносного ПО как на машины с Windows, так и на Linux. При этом, по словам исследователей безопасности, атаки, уже проводимые в реальных условиях, до сих пор не получили «широкого общественного признания», которого они заслуживают.
Уязвимость затрагивает инструмент командной строки React Native Community — чрезвычайно популярный пакет npm с почти 2,5 миллионами еженедельных загрузок. React Native — это инструмент разработки, созданный Meta*, который позволяет пользователям создавать мобильные приложения для iOS и Android с использованием JavaScript и React.
Уязвимость, отслеживаемая как CVE-2025-11953, возникает из-за того, что сервер разработки Metro, запускаемый инструментом командной строки React Native Community, предоставляет конечную точку, уязвимую для внедрения команд ОС. Это позволяет неаутентифицированным сетевым злоумышленникам отправлять POST-запрос на сервер и запускать вредоносные исполняемые файлы. Аналогично, на машинах с Windows злоумышленники могут злоупотреблять уязвимостью для выполнения произвольных команд оболочки с полностью контролируемыми аргументами.
Исследователи JFrog обнаружили уязвимость и раскрыли ее в начале ноября после того, как Meta* выпустила исправление. Исследовательская группа присвоила ей критический рейтинг серьезности CVSS 9,8, что означает, что это почти худшие из возможных уязвимости.
Охотники за ошибками не теряли времени, публикуя на GitHub proof-of-concept эксплойты, причем один такой POC был опубликован в тот же день, что и публичное раскрытие уязвимости.
«VulnCheck наблюдал попытки эксплуатации уже в декабре, задолго до того, как в публичных обсуждениях CVE-2025-11953 рассматривалась как нечто большее, чем теоретический риск», — сообщил The Register технический директор VulnCheck Джейкоб Бейнс. «Это демонстрирует, насколько быстро злоумышленники могут действовать, как только сканирование становится возможным, и почему инструменты разработчика — широко распространенные, непоследовательно контролируемые и зачастую не рассматриваемые как производственные — представляют собой особенно привлекательную раннюю цель».
Во вторник в своем блоге Бейнс заявил, что уязвимость не получает должного внимания.
«Сейчас, спустя более месяца после первоначальной эксплуатации в реальных условиях, эта активность так и не получила широкого общественного признания, а EPSS [система оценки предсказуемости эксплойтов] продолжает присваивать низкую вероятность эксплуатации — 0,00405. Этот разрыв между наблюдаемой эксплуатацией и более широким признанием имеет значение, особенно для уязвимостей, которые легко эксплуатировать и, как показывают данные поисковых систем по всему Интернету Censys, FoFA и ZoomEye, доступных в общедоступном Интернете», — написал он.
Бейнс сообщил, что первая волна эксплуатации началась в декабре, а новые атаки с использованием тех же пейлоадов наблюдались 4 и 21 января.
В этих атаках использовался многоступенчатый загрузчик на основе PowerShell, доставляемый через cmd.exe, и код отключал защиту Microsoft Defender перед получением и запуском пейлоада: бинарного файла на основе Rust с функциями противодействия анализу, включая проверки во время выполнения для помощи в обнаружении путем статического анализа.
«Преднамеренное отключение защит Microsoft Defender перед получением пейлоада указывает на то, что злоумышленник ожидал наличия средств контроля безопасности конечных точек и включил меры уклонения в первоначальный поток выполнения», — написал Бейнс во вторник в своем блоге.
Атаки исходили с следующих IP-адресов: 65.109.182.231, 223.6.249.141 и 134.209.69.155, при этом пейлоад для «windows» размещался по адресу 8.218.43.248:60124, а на адресе 47.86.33.195:60130 размещались бинарные файлы как для «windows», так и для «linux». ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
