文章总结： 文档报告黑客在ReactNativeCLI漏洞CVE-2025-11953公开披露前利用其部署Rust恶意软件。该漏洞位于Metro开发服务器，允许未经身份验证者在Windows上执行远程命令。攻击者通过PowerShell加载器绕过防护。这强调了开发基础设施暴露的风险，建议用户及时修补并限制服务器外部访问。 综合评分： 85 文章分类： 漏洞分析,威胁情报,漏洞预警

黑客利用 React Native CLI 的漏洞在公开披露前部署了 Rust 恶意软件

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月5日 09:00 湖北

导读

黑客利用 React Native CLI 的一个严重漏洞 (CVE-2025-11953) 运行远程命令并投放隐蔽的 Rust 恶意软件，而此时距离该漏洞被公开披露已过去数周。

攻击者正在积极利用 React Native CLI Metro 服务器中的一个严重漏洞，该漏洞编号为CVE-2025-11953。React Native CLI 的 Metro 开发服务器默认绑定到外部接口，从而暴露了一个命令注入漏洞。

未经身份验证的攻击者可以发送 POST 请求来执行任意程序，并且在 Windows 系统上还可以运行带有完全可控参数的 shell 命令。

“React Native Community CLI 打开的 Metro 开发服务器默认绑定到外部接口。该服务器暴露了一个易受操作系统命令注入攻击的端点。这使得未经身份验证的网络攻击者可以向服务器发送 POST 请求并运行任意可执行文件。”

 安全公告指出。 “在 Windows 系统上，攻击者还可以执行带有完全可控参数的任意 shell 命令。”

Metro 是 React Native 使用的 JavaScript 打包器和开发服务器。默认情况下，它会暴露一个端点，允许未经身份验证的攻击者在 Windows 上运行操作系统命令。

VulnCheck 的研究人员在广泛披露前几周就观察到了持续的真实攻击。

VulnCheck 于 2025 年 12 月 21 日和 1 月两次发现 CVE-2025-11953 (Metro4Shell) 漏洞的实际利用案例，表明攻击者仍在持续使用该漏洞。尽管如此，该漏洞仍未引起公众广泛关注，且 EPSS 评分较低。由于该漏洞易于利用，且许多暴露的服务器仍然在线，因此这种漏洞利用的缺失存在风险。

VulnCheck发布的公告指出： “在漏洞首次被利用一个多月后，EPSS仍然将其利用概率评为 0.00405的低值。这种实际利用与更广泛认知之间的差距至关重要，尤其对于那些易于利用且如互联网 搜索数据显示已在公共互联网上暴露的漏洞而言。”

VulnCheck 发现 CVE-2025-11953 漏洞已被持续利用，表明该漏洞已被用于实际攻击而非测试。

攻击者通过 cmd.exe 程序传递了一个多阶段的、经过 base64 编码的 PowerShell 加载器，禁用了 Microsoft Defender 的安全防护，通过原始 TCP 协议获取有效载荷，并执行了下载的二进制文件。该恶意软件是一个使用 UPX 打包的 Rust 有效载荷，具备基本的反分析功能。

攻击者在数周内重复使用相同的基础设施和技术。VulnCheck警告称，由于缺乏公开承认，攻击者可能措手不及，因为攻击往往在官方承认之前就已经开始。

报告总结道：“CVE-2025-11953 的显著之处不在于它的存在，而在于它强化了一种防御者不断重新学习的模式：开发基础设施一旦可访问，无论其初衷如何，都会变成生产基础设施。”

VulnCheck官方博客：

《Metro4Shell：React Native Metro Server 的野外漏洞利用》

https://www.vulncheck.com/blog/metro4shell_eitw

新闻链接：

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

今日安全资讯速递

APT事件

Advanced Persistent Threat

曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士

Chollima APT Hackers Weaponize LNK Files to Deploy Sophisticated Malware

俄罗斯 APT28 利用微软 Office 漏洞发起恶意软件攻击

Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509)

Mustang Panda黑客组织利用虚假外交简报安装监控工具

Chinese Mustang Panda Used Fake Diplomatic Briefings to Spy on Officials

Amaranth-Dragon利用 WinRAR 漏洞进行间谍活动

https://thehackernews.com/2026/02/china-linked-amaranth-dragon-exploits.html

一般威胁事件

General Threat Incidents

Interlock勒索软件利用游戏反作弊驱动程序0day工具，禁用EDR和AV系统

Interlock Ransomware Actors New Tool Exploiting Gaming Anti-Cheat Driver 0-Day to Disable EDR and AV

PhantomVAI 自定义加载器使用 RunPE 工具攻击用户

PhantomVAI Custom Loader Uses RunPE Utility to Attack Users

SystemBC僵尸网络劫持了全球1万台设备用于DDoS攻击

SystemBC Botnet Hijacked 10,000 Devices Worldwide to Use for DDoS Attacks

GreyNoise 发现一个使用 63000 多个住宅代理和 AWS 的双模式 Citrix Gateway 侦察活动

GreyNoise tracks massive Citrix Gateway recon using 63K+ residential proxies and AWS

ValleyRAT伪装成LINE安装程序攻击用户窃取登录信息

ValleyRAT Mimic as LINE Installer Attacking Users to Steal Login Details

微软报告：信息窃取恶意软件已从 Windows 扩展到 macOS

Microsoft: Info-Stealing malware expands from Windows to macOS

借助AI辅助，AWS入侵者在不到10分钟的时间内获得管理员权限

https://www.theregister.com/2026/02/04/aws_cloud_breakin_ai_assist/

漏洞事件

Vulnerability Incidents

VMware ESXi 中的 CVE-2025-22225 漏洞现已被用于勒索软件攻击

CVE-2025-22225 in VMware ESXi now used in active ransomware attacks

Chrome漏洞允许攻击者执行任意代码并导致系统崩溃

Chrome Vulnerabilities Let Attackers Execute Arbitrary Code and Crash System

SolarWinds Web Help Desk 严重漏洞遭受攻击

https://www.theregister.com/2026/02/04/critical_solarwinds_web_help_desk/

n8n AI 工作流自动化平台的两大关键缺陷可能导致完全接管

https://www.infosecurity-magazine.com/news/two-critical-flaws-in-n8n-ai/

研究人员披露了Docker AI助手的一个已修复漏洞，该漏洞可执行代码

https://www.cysecurity.news/2026/02/researchers-disclose-patched-flaw-in.html

ASUSTOR NAS 存在严重安全漏洞，可导致设备完全被控制

Critical ASUSTOR NAS Security Flaw Enables Complete Device Takeover

TP-Link漏洞使黑客能够完全控制设备

TP-Link Vulnerabilities Let Hackers Take Full Control of Devices

Ingress-NGINX漏洞可导致任意代码执行攻击

Ingress-NGINX Flaw Enables Arbitrary Code Execution Attacks

Django 严重漏洞允许发起拒绝服务攻击和 SQL 注入攻击

Critical Django Flaw Allows DoS and SQL Injection Attacks

黑客利用 React Native CLI 的漏洞在公开披露前部署了 Rust 恶意软件

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《黑客利用 React Native CLI 的漏洞在公开披露前部署了 Rust 恶意软件》