Eine kritische Schwachstelle auf dem Metro-Entwicklungsserver, der von vielen React Native-basierten Anwendungen verwendet wird, wird in realen Umgebungen ausgenutzt und stellt eine harte Erinnerung an diejenigen dar, die Entwicklungsinfrastruktur verwalten. Der Ausfall, aufgezeichnet als CVE-2025-11953 und Metro4Shell genannt, ermöglicht Remote-Angreifern ohne Authentifizierung, um beliebige Befehle auf dem System auszuführen, das den Server hostet.
Die jüngste öffentliche Forschung erschien, als die Cyber-Sicherheitsfirma VulnCheck dokumentierte Ausbeutungsversuche vom 21. Dezember 2025. Vorher hatten Sicherheitsforscher das Problem bereits Ende November beschrieben - einschließlich Berichte von Sicherheitsfirmen - aber die im Waisenpots-Netzwerk von VulnCheck beobachtete Aktivität zeigt, dass es keine isolierten Experimente gab: Die gelieferten Nutzlasten wurden konsequent wiederholt, was über einen einfachen Konzepttest hinausgeht.
Die technische Schwerkraft des Ausfalls ist hoch: der zugehörige CVSS-Score beträgt 9.8. Dies zeigt, dass der Angriff remote und ohne Anmeldeinformationen ausgelöst werden kann, mit der Fähigkeit, Code auf dem betroffenen Host auszuführen. Metro, das Entwicklungspaket und der Server, der vom React Native Ökosystem verwendet wird, sind in mehreren Entwicklungs-Workflows enthalten, und wenn diese Instanzen aus unzuverlässigen Netzwerken zugänglich sind, werden sie als Produktionssysteme aus Sicht des Angreifers.
In den analysierten Vorfällen nutzten die Angreifer die Sicherheitslücke, um ein in Base64 kodiertes Power Shell-Skript bereitzustellen. Dieses Skript führt mehrere feindliche Aktionen durch: es unterdrückt die Erkennung, indem es Microsoft Defender für das aktuelle Arbeitsverzeichnis und den Zeitordner des Benutzers ausschließt ( C:\ Benutzer\\ AppData\ Local\ Temp), erstellt eine direkte TCP-Verbindung zu einem vom Angreifer gesteuerten Server und fordert eine Binärdatei, die im temporären Ordner schreibt und dann läuft.
Die entladene binäre, deren Voranalyse in VirusTotal, ist in Rust implementiert und enthält Mechanismen, um es schwierig zu machen, statische zu analysieren, was die Arbeit von Erkennung und Antwort erschwert. Die in den Intrusionen beobachteten ausgehenden Verbindungen weisen auf spezifische IP-Adressen hin, die mit der Kampagne verbunden sind, und die Wiederholung der gleichen Artefakte und Kanäle deutet darauf hin, dass dies eine organisierte und nachhaltige Operation ist.
Diese Episode stellt eine einfache, aber häufige Lektion auf dem Tisch: Die Entwicklungsinfrastruktur ist nicht mehr "Entwicklung nur", wenn sie aus externen Netzwerken zugänglich ist. Ein exponierter Metro-Server kann zu einem Gateway mit schwerwiegenden Folgen werden, unabhängig davon, ob sein ursprüngliches Ziel ist, Schnittstellen oder Pakete lokal zu testen.
Für Teams und Manager muss die unmittelbare Priorität darin bestehen, den Umfang zu kennen und Korrekturen anzuwenden. Aktualisieren Sie die U-Bahn- und Werkzeugpakete und Abhängigkeiten @ reakt-native-community / cli Es ist der erste Schritt. Es ist auch ratsam, die Konfiguration von Netzwerken und Firewalls zu überprüfen, um zu verhindern, dass Entwicklungshäfen öffentlich exponiert werden, sowie Segmententwicklungs- und Produktionsnetzwerke, um Auswirkungen zu minimieren, wenn eine Instanz gefährdet ist. Der Code der Metro selbst ist öffentlich zugänglich auf GitHub wo Patches und damit verbundene technische Diskussionen konsultiert werden können.
Neben dem Patching ist es angebracht, Kompromissindikatoren in Entwicklungsmaschinen zu suchen: Überprüfen Sie neue Ausschlüsse in Antivirenlösungen, überprüfen Sie den temporären Ordner auf der Suche nach verdächtigen ausführbaren und überprüfen Sie ausgehende Verbindungen zu den PIs, die mit der Kampagne verbunden waren. Wenn schädliche Aktivität erkannt wird, sollte die Reaktion die Isolation der betroffenen Systeme, forensische Analyse und, falls erforderlich, die saubere Rekonstruktion der engagierten Ausrüstung und den Widerruf potenziell gefilterter Anmeldeinformationen beinhalten.
Die Sicherheitsgemeinschaft hat bereits frühere Beispiele gezeigt, bei denen von Angreifern schlecht konfigurierte Entwicklungswerkzeuge verwendet wurden. Also, nicht genug, um Patches anzuwenden: Es ist wichtig, Sicherheitsprinzipien in Konfiguration und Bereitstellung anzuwenden. Dies ist zu vermeiden, Entwicklungsserver ins Internet zu entwerfen, die einen Zugriff durch VPN oder sichere Tunnel benötigen, wenn es unbedingt erforderlich ist, und die Nutzung von Authentifizierungs- und Zugriffskontrollmechanismen auch in internen Umgebungen.
Während die erste technische Offenlegung im November ankam und die aktive Ausbeutung im Dezember 2025 beobachtet wurde, ist die öffentliche Sicht dieser Intrusionen nicht immer unmittelbar oder breit. Dies kann viele Organisationen in Ungewissheit lassen, bis Berater oder bestimmte Berichte die Tätigkeit ins Licht bringen. Wenn Sie sich über zuverlässige Quellen und Sicherheitsbulletins informieren, ist der Schlüssel, schnell zu reagieren.
Kurz gesagt, die Kombination von kritischer Schwachstelle in einer Komponente, die von Entwicklern und permissiven Einsatzpraktiken weit verbreitet ist, erlaubt eine Kampagne mit Remote-Laufkapazität und ausgereifter Malware-Lieferung. Die Empfehlungen sind klar: zu parken, die Exposition von Entwicklungsdiensten zu begrenzen, zu prüfen und auf Verpflichtungserklärungen zu reagieren und strenge Zugangskontrollen durchzuführen. Nach diesen Schritten wird die Wahrscheinlichkeit deutlich reduziert, dass ein Werkzeug, das die Entwicklung erleichtern soll, letztendlich ein Angriffsweg ist.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...