文章总结： 文档披露攻击者正利用ReactNativeCLI的严重漏洞CVE-2025-11953执行远程命令注入。因Metro服务器默认暴露接口，攻击者可未经授权运行任意代码，尤以Windows为甚。实际攻击已持续数周，涉及PowerShell加载器和Rust恶意软件。鉴于低关注度和高利用风险，建议立即修补并限制开发服务器公网访问。 综合评分： 82 文章分类： 漏洞预警,威胁情报,恶意软件,漏洞分析,应急响应

黑客利用 React Native CLI 的漏洞部署 Rust 恶意软件

原创

ZM ZM

暗镜

2026年2月4日 08:24 北京

黑客利用 React Native CLI 的一个严重漏洞 (CVE-2025-11953) 运行远程命令并投放隐蔽的 Rust 恶意软件，而此时距离该漏洞被公开披露已过去数周。

攻击者正在积极利用 React Native CLI Metro 服务器中的一个严重漏洞，该漏洞编号为CVE-2025-11953。React Native CLI 的 Metro 开发服务器默认绑定到外部接口，从而暴露了一个命令注入漏洞。未经身份验证的攻击者可以发送 POST 请求来执行任意程序，并且在 Windows 系统上还可以运行带有完全可控参数的 shell 命令。

“React Native Community CLI 打开的 Metro 开发服务器默认绑定到外部接口。该服务器暴露了一个易受操作系统命令注入攻击的端点。这使得未经身份验证的网络攻击者可以向服务器发送 POST 请求并运行任意可执行文件。” 安全公告指出。 “在 Windows 系统上，攻击者还可以执行带有完全可控参数的任意 shell 命令。”

Metro 是 React Native 使用的 JavaScript 打包器和开发服务器。默认情况下，它会暴露一个端点，允许未经身份验证的攻击者在 Windows 上运行操作系统命令。

VulnCheck 的研究人员在广泛披露前几周就观察到了持续的真实攻击。

VulnCheck 于 2025 年 12 月 21 日和 1 月两次发现 CVE-2025-11953 (Metro4Shell) 漏洞的实际利用案例，表明攻击者仍在持续使用该漏洞。尽管如此，该漏洞仍未引起公众广泛关注，且 EPSS 评分较低。由于该漏洞易于利用，且许多暴露的服务器仍然在线，因此这种漏洞利用的缺失存在风险。

VulnCheck发布的公告指出： “如今，在漏洞首次被利用一个多月后，该活动仍未获得广泛的公众认可，EPSS仍然将其利用概率评为 0.00405的低值。这种实际利用与更广泛认知之间的差距至关重要，尤其对于那些易于利用且如互联网 搜索数据显示已在公共互联网上暴露的漏洞而言。”

VulnCheck 发现 CVE-2025-11953 漏洞已被持续利用，表明该漏洞已被用于实际攻击而非测试。攻击者通过 cmd.exe 程序传递了一个多阶段的、经过 base64 编码的 PowerShell 加载器，禁用了 Microsoft Defender 的安全防护，通过原始 TCP 协议获取有效载荷，并执行了下载的二进制文件。该恶意软件是一个使用 UPX 打包的 Rust 有效载荷，具备基本的反分析功能。

专家指出，攻击者在数周内重复使用相同的基础设施和技术。VulnCheck警告称，由于缺乏公开承认，攻击者可能措手不及，因为攻击往往在官方承认之前就已经开始。

以下是此次攻击涉及的网络基础设施：

| 指标 | 观察到的角色 | | — | — | | 65.109.182.231 | 剥削来源 | | 223.6.249.141 | 剥削来源 | | 134.209.69.155 | 剥削来源 | | 8.218.43.248 | 有效载荷主机（Windows） | | 47.86.33.195 | 有效载荷主机（Windows 和 Linux） |

报告总结道：“CVE-2025-11953 的显著之处不在于它的存在，而在于它强化了一种防御者不断重新学习的模式：开发基础设施一旦可访问，无论其初衷如何，都会变成生产基础设施。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《黑客利用 React Native CLI 的漏洞部署 Rust 恶意软件》