Se ha observado que los actores de amenazas explotan una falla de seguridad crítica que afecta al servidor de desarrollo Metro en el popular paquete npm «@react-native-community/cli».
Empresa de ciberseguridad VulnCheck dijo que observó por primera vez la explotación de CVE-2025-11953 (también conocido como Metro4Shell) el 21 de diciembre de 2025. Con una puntuación CVSS de 9,8, la vulnerabilidad permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en el host subyacente. Los detalles de la falla fueron documentados por primera vez por JFrog en noviembre de 2025.
A pesar de más de un mes después de la explotación inicial en la naturaleza, la «actividad aún no ha recibido un amplio reconocimiento público», añadió.
En el ataque detectado contra su red honeypot, los actores de amenazas han convertido la falla en un arma para entregar un script de PowerShell codificado en Base64 que, una vez analizado, está configurado para realizar una serie de acciones, incluidas exclusiones de Microsoft Defender Antivirus para el directorio de trabajo actual y la carpeta temporal («C:Users
El script de PowerShell también establece una conexión TCP sin formato a un host y puerto controlado por el atacante («8.218.43(.)248:60124») y envía una solicitud para recuperar datos, escribirlos en un archivo en el directorio temporal y ejecutarlos. El binario descargado está basado en Rust y presenta comprobaciones antianálisis para dificultar la inspección estática.
Se ha descubierto que los ataques se originan en las siguientes direcciones IP:
- 5.109.182(.)231
- 223.6.249(.)141
- 134.209.69(.)155
Al describir la actividad ni como experimental ni exploratoria, VulnCheck dijo que las cargas útiles entregadas fueron «consistentes a lo largo de varias semanas de explotación, lo que indica un uso operativo en lugar de un sondeo de vulnerabilidad o una prueba de concepto».
«CVE-2025-11953 no es notable porque existe. Es notable porque refuerza un patrón que los defensores continúan volviendo a aprender. La infraestructura de desarrollo se convierte en infraestructura de producción en el momento en que es accesible, independientemente de su intención».