Des hackers explorent une vulnérabilité critique dans React Native depuis plus d'un mois

Depuis le 21 décembre 2025, des cybercriminels exploitent une faille de sécurité grave dans le Metro Development Server, un composant essentiel de la plateforme React Native, qui permet de créer des applications mobiles pour Android et iOS. Cette vulnérabilité, connue sous le nom de CVE-2025-11953 et surnommée Metro4Shell, possède une note de 9,8 sur une échelle allant jusqu'à 10, indiquant sa gravité.

La découverte a été faite par des chercheurs de l'entreprise de sécurité informatique VulnCheck, utilisant des systèmes appâts qui surveillent les attaques réelles. L'intérêt des hackers se concentre sur un point de terminaison connu sous le nom de \/open-url, qui dans les configurations par défaut, peut exposer le serveur à Internet.

Environnement de développement vulnérable

Le Metro sert de serveur de développement qui "emballe" le code JavaScript, permettant aux développeurs de tester leurs applications. S'il est exposé, tout utilisateur peut envoyer une requête simple au point de terminaison vulnérable et exécuter des commandes sur le système, sans besoin d'authentification.

La vulnérabilité a été initialement documentée par l'entreprise JFrog en novembre 2025, qui a publié une analyse technique. Après cela, diverses preuves de concept sont apparues sur GitHub, facilitant l'attaque même pour des intrus moins expérimentés.

Méthode d'attaque

La nature répétitive des attaques capturées par VulnCheck a révélé un schéma. Des attaques se sont produites à trois dates distinctes, utilisant toujours les mêmes fichiers malveillants, configurant une opération cybernétique bien structurée.

L'attaque se compose de cinq étapes. Tout d'abord, les criminels utilisent l'outil curl pour envoyer une commande via le point de terminaison vulnérable, déguisé en Base64. Après décodage, le script identifie les répertoires de travail et désactive les protections de Microsoft Defender.

Une fois les défenses compromises, le script établit une connexion avec un serveur contrôlé par les intrus et télécharge un exécutable malveillant, qui est ensuite exécuté avec des arguments cryptés.

Le malware, écrit en Rust et compressé avec UPX, présente une logique anti-analyse, rendant les examens par les chercheurs en sécurité difficiles et possède une version pour Linux, élargissant sa portée d'attaque.

Déconnexion entre perception et réalité

VulnCheck a identifié une désinformation préoccupante : bien que l'exploitation active de la vulnérabilité ait commencé en décembre, de nombreux débats publics jusqu'à la fin janvier l'ont encore classée comme un "risque théorique". Le rapport souligne que les initiatives des attaquants ne dépendent pas d'alertes officielles ou de mises à jour de sécurité.

Le Known Exploited Vulnerabilities (KEV), une liste tenue par la Cybersecurity & Infrastructure Security Agency (CISA), est souvent mise à jour avec retard. Des outils de développement comme le Metro, étant largement utilisés, deviennent des cibles faciles, car ils ne reçoivent souvent pas le même niveau de surveillance que les systèmes de production.

Importance de la détection précoce

VulnCheck a réussi à détecter l'exploitation initiale grâce à l'utilisation d'exploits et de règles d'un système de détection d'intrusions appelé Suricata. Cette visibilité a permis une configuration précoce des systèmes pour identifier les attaques dès qu'elles ont commencé.

L'entreprise a enregistré la CVE-2025-11953 sur sa liste de vulnérabilités exploitées le même jour où la première attaque a été observée, montrant l'importance de la surveillance continue dans les environnements de développement.

Pour plus d'actualités sur la sécurité et la technologie, suivez TecMundo sur les réseaux sociaux et inscrivez-vous à notre newsletter.