Tin tặc khai thác lỗ hổng RCE Metro4Shell trong gói npm React Native CLI

Các tác nhân đe dọa đã bị phát hiện khai thác một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Metro Development Server trong gói npm phổ biến "@react-native-community/cli". Công ty an ninh mạng VulnCheck cho biết họ lần đầu tiên quan sát việc khai thác CVE-2025-11953 (còn gọi là Metro4Shell) vào ngày 21 tháng 12 năm 2025. Với điểm CVSS là 9.8, lỗ hổng này cho phép những kẻ tấn công từ xa không xác thực thực thi các lệnh hệ điều hành tùy ý.

Hình ảnh minh họa cho lỗ hổng Metro4Shell trong React Native CLI

Các tác nhân đe dọa đã bị phát hiện khai thác một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Metro Development Server trong gói npm phổ biến "@react-native-community/cli".

Công ty an ninh mạng VulnCheck cho biết họ lần đầu tiên quan sát việc khai thác CVE-2025-11953 (còn gọi là Metro4Shell) vào ngày 21 tháng 12 năm 2025. Với điểm CVSS là 9.8, lỗ hổng này cho phép những kẻ tấn công từ xa không xác thực thực thi các lệnh hệ điều hành tùy ý trên máy chủ. Chi tiết về lỗ hổng này đã được JFrog ghi nhận lần đầu tiên vào tháng 11 năm 2025.

Mặc dù đã hơn một tháng kể từ khi lỗ hổng này bị khai thác lần đầu tiên trên thực tế, nhưng "hoạt động này vẫn chưa nhận được sự công nhận rộng rãi từ công chúng," VulnCheck cho biết thêm.

Trong cuộc tấn công được phát hiện nhắm vào mạng honeypot của họ, các tác nhân đe dọa đã vũ khí hóa lỗ hổng để phân phối một script PowerShell được mã hóa Base64. Sau khi phân tích cú pháp, script này được cấu hình để thực hiện một loạt các hành động, bao gồm thêm các ngoại lệ cho Microsoft Defender Antivirus đối với thư mục làm việc hiện tại và thư mục tạm thời ("C:\Users\<Username>\AppData\Local\Temp").

Script PowerShell này cũng thiết lập kết nối TCP thô đến một máy chủ và cổng do kẻ tấn công kiểm soát ("8.218.43[.]248:60124"), sau đó gửi yêu cầu để truy xuất dữ liệu, ghi dữ liệu đó vào một tệp trong thư mục tạm thời và thực thi nó. Binary được tải xuống được xây dựng bằng Rust, và có các tính năng kiểm tra chống phân tích để cản trở quá trình kiểm tra tĩnh.

Các cuộc tấn công được phát hiện có nguồn gốc từ các địa chỉ IP sau:

5.109.182[.]231
223.6.249[.]141
134.209.69[.]155

Mô tả hoạt động này không mang tính thử nghiệm hay thăm dò, VulnCheck cho biết các payload được phân phối "nhất quán trong nhiều tuần khai thác, cho thấy việc sử dụng trong hoạt động thực tế hơn là thăm dò lỗ hổng hoặc thử nghiệm proof-of-concept."

"CVE-2025-11953 không đáng chú ý vì nó tồn tại. Nó đáng chú ý vì nó củng cố một mô hình mà các nhà bảo vệ tiếp tục phải học lại. Cơ sở hạ tầng phát triển trở thành cơ sở hạ tầng sản xuất ngay khi nó có thể truy cập được, bất kể mục đích."