Se ha observado que los actores de amenazas explotan una falla de seguridad crítica que afecta a Metro Development Server en el popular paquete npm «@react-native-community/cli».
La empresa de ciberseguridad VulnCheck anunció el 21 de diciembre de 2025 que observó el primer exploit de CVE-2025-11953 (también conocido como Metro4Shell). Con una puntuación CVSS de 9,8, esta vulnerabilidad permite que un atacante remoto no autenticado ejecute comandos arbitrarios del sistema operativo en el host subyacente. JFrog documentó por primera vez los detalles de la falla en noviembre de 2025.
Aunque ha pasado más de un mes desde el primer exploit en la naturaleza, «esta actividad sigue siendo en gran medida desconocida para el público», añade el informe.
En los ataques detectados contra redes honeypot, los atacantes están armados con esta falla para distribuir un script de PowerShell codificado en Base64 que, cuando se analiza, se configura para realizar una serie de acciones, incluidas exclusiones de Microsoft Defender Antivirus para el directorio de trabajo actual y la carpeta temporal (‘C:\Users\\AppData\Local\Temp’).
El script de PowerShell también establece una conexión TCP sin formato a un host y puerto controlado por el atacante (‘8.218.43(.)248:60124’) y envía una solicitud para recuperar datos, escribirlos en un archivo en un directorio temporal y ejecutarlos. Los binarios descargados se basan en Rust y cuentan con comprobaciones antianálisis que evitan la inspección estática.
Se descubrió que el ataque se originó en las siguientes direcciones IP:
5.109.182(.)231 223.6.249(.)141 134.209.69(.)155
VulnCheck dijo que la actividad no fue ni experimental ni exploratoria, y que las cargas útiles entregadas fueron «consistentes durante varias semanas de explotación, lo que indica un uso operativo en lugar de una investigación de vulnerabilidades o pruebas de concepto».
«CVE-2025-11953 es digno de mención no porque exista; es digno de mención porque refuerza un patrón que los defensores siguen reaprendiendo. La infraestructura de desarrollo se convierte en infraestructura de producción en el momento en que llega, independientemente de su intención».
Source link
