【安全资讯】黑客利用React Native Metro关键漏洞入侵开发系统

概要：

在当今快速迭代的软件开发环境中，开发工具的安全性至关重要。近期，黑客开始利用React Native框架中默认JavaScript打包工具Metro的一个高危漏洞（CVE-2025-11953），对开发者的系统发起针对性攻击。这一事件凸显了软件供应链安全面临的严峻挑战，攻击者能够借此在Windows和Linux系统上执行任意命令，为后续入侵铺平道路。

主要内容：

该漏洞存在于@react-native-community/cli-server-api的4.8.0至20.0.0-alpha.2版本中，已于20.0.0版修复。其核心问题在于，Metro服务器默认绑定的外部网络接口暴露了一个开发专用的HTTP端点（/open-url）。攻击者可通过发送特制的POST请求，将未经验证的用户输入URL传递给`open()`函数，从而在Windows上执行任意操作系统命令，或在Linux/macOS上运行有限参数控制的任意可执行文件。

自2025年12月21日起，被追踪为Metro4Shell的威胁行为体开始利用此漏洞。攻击持续至2026年1月，向暴露的端点发送恶意HTTP POST请求，其主体隐藏了Base64编码的PowerShell载荷。载荷一旦解码执行，会先通过`Add-MpPreference`禁用Microsoft Defender对特定目录的防护，随后建立与攻击者基础设施的TCP连接，获取下一阶段恶意软件。

攻击中使用的Windows载荷是一个基于Rust语言开发、经过UPX压缩的二进制文件，具备基本的反分析逻辑。同一基础设施还托管了对应的Linux二进制文件，表明攻击覆盖多平台。据ZoomEye搜索引擎扫描，目前仍有约3500个React Native Metro服务器暴露在公网上。尽管活跃利用已超一个月，该漏洞在漏洞利用预测评分系统（EPSS）中的风险评分仍然较低，这警示组织不能仅依赖公开预警，需主动采取防护措施。