Hackers estão atacando desenvolvedores ao explorarem a vulnerabilidade crítica
CVE-2025-11953
no servidor Metro, usado pelo React Native, para distribuir payloads maliciosos em sistemas Windows e Linux.
No Windows, um invasor não autenticado pode executar comandos arbitrários no sistema operacional por meio de uma requisição POST.
Já no Linux e macOS, a falha permite a execução de arquivos executáveis com controle limitado sobre os parâmetros.
O Metro é o bundler JavaScript padrão para projetos em React Native, essencial para a construção e execução das aplicações durante a fase de desenvolvimento.
Por padrão, o Metro pode se conectar a interfaces de rede externas e expor endpoints HTTP voltados exclusivamente ao desenvolvimento local, como o /open-url, utilizados nessa etapa.
A vulnerabilidade foi descoberta pela equipe da JFrog, empresa especializada em segurança da cadeia de suprimentos de software, e divulgada no início de novembro de 2025.
Após a divulgação pública, diversos exploits de prova de conceito começaram a circular.
Segundo os pesquisadores, o problema está no endpoint /open-url, que aceita requisições POST contendo uma URL fornecida pelo usuário.
Essa URL era repassada sem a devida sanitização para a função ‘open()’, abrindo espaço para exploração.
O bug afeta as versões 4.8.0 até 20.0.0-alpha.2 do pacote @react-native-community/cli-server-api.
A correção foi liberada a partir da versão 20.0.0.
No dia 21 de dezembro de 2025, a empresa VulnCheck, especializada em inteligência de vulnerabilidades, detectou um ator malicioso explorando a
CVE-2025-11953
, batizada como Metro4Shell.
A mesma atividade foi observada novamente em 4 e 21 de janeiro de 2026.
Nos três ataques, os pesquisadores identificaram o envio de payloads em PowerShell, codificados em base64 e ocultos no corpo das requisições POST maliciosas direcionadas a endpoints expostos.
Após decodificação e execução, os payloads realizam as seguintes ações:
- Desativam proteções do endpoint, adicionando exclusões no Microsoft Defender tanto no diretório atual quanto na pasta temporária do sistema, usando o comando Add-MpPreference.
- Estabelecem uma conexão TCP bruta com a infraestrutura controlada pelos atacantes, enviando uma requisição GET /windows para obter o payload da próxima etapa.
- Salvam o payload recebido em disco, dentro do diretório temporário do sistema, como um arquivo executável.
- Executam o binário baixado com uma longa cadeia de parâmetros fornecidos pelos invasores.
O payload para Windows é um binário desenvolvido em Rust, compactado com UPX e que contém uma lógica básica para dificultar análises.
A mesma infraestrutura também hospedava um binário equivalente para Linux, indicando que os ataques visam múltiplas plataformas.
De acordo com varreduras realizadas pelo motor de busca ZoomEye, existem cerca de 3.500 servidores Metro React Native expostos publicamente na internet.
Apesar de a exploração ativa durar mais de um mês, a vulnerabilidade mantém uma pontuação baixa no Exploit Prediction Scoring System (EPSS), framework que mede a probabilidade de exploração de vulnerabilidades.
Os pesquisadores alertam que “as organizações não podem esperar pela inclusão no CISA KEV, por relatórios de fornecedores ou por um consenso amplo antes de agir”.
O relatório da VulnCheck traz indicadores de comprometimento (IoCs) relacionados à infraestrutura dos atacantes, além dos payloads observados para Windows e Linux, auxiliando na detecção e resposta a esses ataques.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...