Metro4Shell: уязвимость в сервере React Native активно эксплуатируется злоумышленниками

Уязвимость затрагивает Metro - сервер для разработки и сборки JavaScript, используемый в React Native. По умолчанию он может привязываться к внешним интерфейсам и предоставлять эндпоинт "/open-url". На платформе Windows этот эндпоинт позволяет неавторизованным удаленным злоумышленникам выполнять произвольные команды операционной системы с помощью простого POST-запроса. Исследователи из JFrog первыми обнаружили проблему и опубликовали анализ root-причины. Впоследствии в открытом доступе появились несколько эксплойтов для уязвимости.

Сеть датчиков VulnCheck Canaries зафиксировала эксплуатацию CVE-2025-11953 21 декабря 2025 года. Дополнительные атаки с использованием тех же вредоносных нагрузок были отмечены 4 и 21 января 2026 года. Такая последовательность указывает на оперативное использование уязвимости, а не на единичные зондирования или исследовательскую деятельность. Эксперты подчеркивают, что Metro4Shell представляет собой практичный механизм получения первоначального доступа, если сервер разработки доступен из публичного интернета.

Анализ атак показывает, что злоумышленники использовали многоэтапный загрузчик на основе PowerShell. Вредоносный код доставлялся через "cmd.exe". Исходный скрипт PowerShell был закодирован в base64. После декодирования становится видно, что нагрузка выполняет несколько действий. Сначала она добавляет исключения для текущего рабочего каталога и системной временной директории в защиту Microsoft Defender. Затем устанавливает сырое TCP-соединение с контролируемым злоумышленниками хостом, отправляет GET-запрос "/windows" и записывает полученные данные в файл во временной директории системы. В завершение исполняется загруженный бинарный файл с длинной строкой аргументов.

Преднамеренное отключение защит Microsoft Defender перед загрузкой основной вредоносной нагрузки указывает на то, что атакующие ожидали наличие средств защиты на конечных точках и заранее включили в сценарий методы уклонения. Загружаемый бинарный файл был упакован с помощью UPX. После распаковки выяснилось, что это Rust-приложение, включающее базовую логику антианализа с проверками во время выполнения, предназначенными для затруднения статического исследования.

Атаки, по данным VulnCheck, исходили с IP-адресов 65.109.182[.]231, 223.6.249[.]141 и 134.209.69[.]155. Полезная нагрузка для Windows размещалась на 8.218.43[.]248:60124 и 47.86.33[.]195:60130. На той же инфраструктуре также находился соответствующий бинарный файл с именем "linux".

Ключевым аспектом этой активности является временная шкала. VulnCheck наблюдал попытки эксплуатации еще в декабре. Однако по состоянию на конец января общественное обсуждение в значительной степени представляет CVE-2025-11953 как теоретический риск, а не как активный вектор для вторжения. Именно в этом разрыве между реальной эксплуатацией и ее восприятием защитники с наибольшей вероятностью могут оказаться неподготовленными.

Атакующие не ждут включения уязвимости в каталог KEV, сводок от вендоров или формирования общего мнения. Как только появляется работоспособный proof-of-concept и становится возможным сканирование, эксплуатация следует очень быстро. Инструменты разработчиков особенно привлекательны, поскольку они широко распространены, за ними часто нет должного мониторинга, и их редко рассматривают как производственную поверхность для атак.

CVE-2025-11953 примечательна не своим существованием, а тем, что она подтверждает паттерн, который специалистам по безопасности приходится усваивать снова и снова. Инфраструктура для разработки становится производственной инфраструкцией в тот момент, когда к ней можно получить доступ извне, независимо от изначальных намерений. Организации не могут позволить себе ждать действий от CISA, отчетов вендоров или широкого консенсуса. Эксплуатация часто начинается сразу же, как только появляется экспозиция. Раннее выявление таких пробелов критически важно для сокращения времени присутствия злоумышленника в системе и предотвращения компрометации.

IPv4

• 134.209.69.155
• 223.6.249.141
• 47.86.33.195
• 65.109.182.231
• 8.218.43.248

SHA256

• 6686d4baa9d483da27ba84dab85e96e42b790b608571de7bcb07a1fd7c975fe3
• 7ecbb0cc88dfa5f187c209a28bd25e8e2d5113bb898a91ae273bca5983130886
• d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182
• d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6