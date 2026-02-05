Злоумышленники активно используют критическую уязвимость CVE-2025-11953 в Metro-сервере React Native, чтобы заражать системы разработчиков вредоносами для Windows и Linux.

Metro — это JavaScript-бандлер для проектов на React Native по умолчанию. Он может привязываться к внешним сетевым интерфейсам и открывать HTTP-эндпоинты, предназначенные только для локального использования на этапе разработки. Именно в этих эндпоинтах и была обнаружена проблема.

В ноябре 2025 года уязвимость CVE-2025-11953, также получившую название Metro4Shell, нашли специалисты из компании JFrog. Баг связан с тем, что эндпоинт /open-url принимал POST-запросы с пользовательскими URL-адресами, которые затем передавались в функцию open() без какой-либо очистки. Это позволяло неаутентифицированным атакующим выполнять произвольные команды в Windows через POST-запрос, а в Linux и macOS — запускать исполняемые файлы с ограниченным контролем параметров.

Уязвимость затронула версии @react-native-community/cli-server-api с 4.8.0 до 20.0.0-alpha.2. Патч был выпущен в версии 20.0.0. При этом после публичного раскрытия информации о проблеме в сети появились множественные proof-of-concept эксплоиты.

Компания VulnCheck впервые обнаружила активную эксплуатацию CVE-2025-11953 еще 21 декабря 2025 года. Атаки продолжились 4 и 21 января, и каждый раз в них использовались идентичные полезные нагрузки. Во всех трех случаях атакующие доставляли закодированные в base64 PowerShell-скрипты, скрытые в теле HTTP POST-запросов к эндпоинтам.

После декодирования и запуска пейлоад выполняет следующие действия:

отключает защиту, добавляя в исключения Microsoft Defender рабочую директорию и временную папку через Add-MpPreference;

устанавливает TCP-соединение с управляющей инфраструктурой атакующих и запрашивает следующую стадию атаки через GET /windows;

сохраняет полученные данные на диск как исполняемый файл во временную директорию;

запускает скачанный бинарник со строкой аргументов, предоставленных атакующими.

Windows-пейлоад представляет собой упакованный UPX бинарник, написанный на Rust, с базовой антианализной логикой. Отмечается, что в той же инфраструктуре хостился аналогичный linux-бинарник, что указывает на кроссплатформенный характер атак.

По данным ZoomEye, в настоящее время в интернете можно найти примерно 3500 доступных Metro-серверов React Native.