Exploram hackers falha crtica no React Native h mais de um ms
TL;DR
Criminosos cibernticos exploram uma falha de segurana grave no Metro Development Server, um componente essencial da plataforma React Native, desde 21 de dezembro de 2025.
Desde 21 de dezembro de 2025, criminosos cibernticos exploram uma falha de segurana grave no Metro Development Server, componente essencial da plataforma React Native, que permite a criao de aplicativos mveis para Android e iOS. Essa vulnerabilidade, conhecida como CVE-2025-11953 e apelidada de Metro4Shell, possui uma pontuao de 9,8 em uma escala que vai at 10, indicando sua severidade.
A descoberta foi feita por pesquisadores da empresa de segurana ciberntica VulnCheck, utilizando sistemas armadilha que monitoram ataques reais. O interesse dos hackers se concentra em um endpoint conhecido como \/open-url, que em configuraes padro pode expor o servidor internet.
Ambiente de desenvolvimento vulnervel
O Metro serve como servidor de desenvolvimento que "empacota" cdigo JavaScript, permitindo que os desenvolvedores testem seus aplicativos. Se exposto, qualquer usurio pode enviar uma requisio simples ao endpoint vulnervel e executar comandos no sistema, sem necessidade de autenticao.
A vulnerabilidade foi inicialmente documentada pela empresa JFrog em novembro de 2025, que publicou uma anlise tcnica. Aps isso, diversas provas de conceito surgiram no GitHub, facilitando o ataque at para invasores menos experientes.
Mtodo de ataque
A natureza repetitiva dos ataques capturados pela VulnCheck revelou um padro. Ataques ocorreram em trs datas distintas, sempre utilizando os mesmos arquivos maliciosos, configurando uma operao ciberntica bem estruturada.
O ataque consiste em cinco etapas. Primeiro, os criminosos utilizam a ferramenta curl para enviar um comando atravs do endpoint vulnervel, disfarado em Base64. Aps a decodificao, o script identifica diretrios de trabalho e desativa protees do Microsoft Defender.
Uma vez comprometidas as defesas, o script estabelece uma conexo com um servidor controlado pelos invasores e baixa um executvel maliciosos, que ento executado com argumentos criptografados.
O malware, escrito em Rust e compactado com UPX, apresenta lgica anti-anlise, dificultando exames por pesquisadores de segurana e possui uma verso para Linux, expandindo seu alcance de ataque.
Desconexo entre percepo e realidade
A VulnCheck identificou uma desinformao preocupante: enquanto a explorao ativa da vulnerabilidade comeou em dezembro, muitos debates pblicos at o final de janeiro ainda a classificado como um "risco terico". O relatrio ressalta que as iniciativas dos atacantes no dependem de avisos oficiais ou atualizaes de segurana.
O Known Exploited Vulnerabilities (KEV), lista mantida pela Cybersecurity & Infrastructure Security Agency (CISA), frequentemente atualizada com atraso. Ferramentas de desenvolvimento como o Metro, por serem amplamente utilizadas, tornam-se alvos fceis, dado que frequentemente no recebem o mesmo nvel de monitoramento que sistemas de produo.
Importncia da deteco precoce
A VulnCheck obteve sucesso em detectar a explorao inicial devido ao uso de exploits e regras de um sistema de deteco de intruses, chamado Suricata. Essa visibilidade permitiu a configurao precoce dos sistemas para identificar os ataques assim que comearam.
A empresa registrou a CVE-2025-11953 em sua lista de vulnerabilidades exploradas no mesmo dia em que o primeiro ataque foi observado, mostrando a importncia da vigilncia contnua em ambientes de desenvolvimento.
Para mais notcias sobre segurana e tecnologia, acompanhe o TecMundo nas redes sociais e se inscreva em nossa newsletter.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
