【安全资讯】黑客利用React Native Metro关键漏洞入侵开发系统

概要：

在当今快速迭代的软件开发环境中，开发工具的安全性往往被忽视，却可能成为攻击者入侵的绝佳跳板。近期，一个存在于React Native默认JavaScript打包工具Metro中的高危漏洞（CVE-2025-11953）正被黑客积极利用，攻击者借此向开发者的Windows和Linux系统投递恶意载荷，对全球软件供应链安全构成了直接威胁。

主要内容：

该漏洞存在于@react-native-community/cli-server-api的4.8.0至20.0.0-alpha.2版本中，其核心问题在于Metro服务器默认绑定的外部网络接口及其开发专用HTTP端点（/open-url）。攻击者可以向此端点发送包含未经验证用户输入URL的POST请求，该URL会被直接传递给系统的`open()`函数执行，从而在Windows上实现任意命令执行，在Linux和macOS上则能以有限参数控制运行任意可执行文件。

自2025年11月漏洞公开披露后，多个概念验证利用代码出现。同年12月21日，威胁情报公司VulnCheck观察到名为“Metro4Shell”的攻击活动利用此漏洞。攻击者通过向暴露的端点发送恶意HTTP POST请求，其请求体中隐藏了经过Base64编码的PowerShell载荷。载荷一旦解码执行，会首先禁用Microsoft Defender等终端防护，然后建立与攻击者控制基础设施的TCP连接，下载并执行下一阶段恶意二进制文件。

攻击活动中使用的Windows载荷是一个基于Rust语言开发并经过UPX压缩的二进制文件，具备基本的反分析逻辑。同一基础设施也托管了对应的Linux版本二进制文件，表明攻击活动覆盖了多平台。根据ZoomEye搜索引擎的扫描结果，目前仍有约3500个React Native Metro服务器暴露在公网上，极易成为攻击目标。尽管漏洞已被积极利用超过一个月，其在漏洞利用预测评分系统（EPSS）中的风险评分仍然较低，这凸显了组织不能仅依赖公开风险评级，而需主动采取防护措施。