文章总结： 攻击者利用ReactNativeCLI漏洞CVE-2025-11953，通过Metro开发服务器注入命令并投递Rust恶意软件。该漏洞在公开披露前数周已被持续利用，攻击者禁用WindowsDefender并下载恶意载荷。这表明开发服务器一旦暴露即成攻击目标，需警惕并限制对外访问。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,恶意软件,威胁情报,应用安全

黑客利用React Native CLI漏洞提前部署Rust恶意软件

FreeBuf

2026年2月4日 18:06 上海

Part01

漏洞利用详情

攻击者正在积极利用React Native CLI Metro服务器中的高危漏洞（CVE-2025-11953）。该漏洞存在于React Native CLI的Metro开发服务器中，该服务器默认绑定外部接口并暴露命令注入缺陷。未经认证的攻击者可发送POST请求执行任意程序，在Windows系统上还能运行参数完全可控的shell命令。

安全公告指出：”由React Native社区CLI启动的Metro开发服务器默认会绑定外部接口。该服务器暴露的端点存在操作系统命令注入漏洞，使得未经认证的网络攻击者能够向服务器发送POST请求并运行任意可执行文件。在Windows系统上，攻击者还能执行参数完全可控的任意shell命令。”

Part02

攻击活动分析

Metro是React Native使用的JavaScript打包工具和开发服务器，默认配置会暴露端点，允许攻击者在Windows系统上执行操作系统命令。

VulnCheck研究人员发现，在漏洞被广泛披露前数周就已出现持续的实际攻击案例。该机构于2025年12月21日首次观测到CVE-2025-11953（又称Metro4Shell）的实际利用，随后在2026年1月再次发现攻击活动，表明攻击者持续利用该漏洞。尽管存在这些攻击，该漏洞仍未引起广泛关注，EPSS（漏洞利用预测评分系统）评分仅为0.00405。

VulnCheck发布的公告强调：”在首次野外利用一个多月后，这些攻击活动仍未获得广泛认知。这种已观测到的利用与普遍认知之间的差距值得警惕，特别是对于易于利用且暴露在公共互联网上的漏洞。”

Part03

恶意软件技术细节

VulnCheck确认CVE-2025-11953存在持续活跃的利用行为，表明攻击者已将其投入实际攻击而非测试。攻击者通过cmd.exe投递多阶段Base64编码的PowerShell加载器，禁用Microsoft Defender防护，通过原始TCP获取有效载荷，最终执行下载的二进制文件。该恶意软件为UPX压缩的Rust程序，具备基础的反分析功能。

专家指出，攻击者连续数周重复使用相同的基础设施和技术手段。VulnCheck警告称，缺乏公开认知可能导致防御者准备不足，因为漏洞利用往往远早于官方确认时间。

Part04

攻击网络基础设施

以下是涉及的网络基础设施：

报告总结道：”CVE-2025-11953的重要性不在于其存在本身，而在于它再次印证了一个防御者需要不断重新认识的模式——可被访问的开发基础设施即刻就会成为生产基础设施，无论其初衷如何。”

参考来源：

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客利用React Native CLI漏洞提前部署Rust恶意软件》