Une vulnérabilité critique sur le serveur de développement Metro, utilisé par de nombreuses applications basées sur React Native, est exploitée dans des environnements réels et constitue un rappel difficile pour ceux qui gèrent l'infrastructure de développement. L'échec, enregistré comme CVE-2025-11953 et appelé Metro4Shell, permet aux attaquants à distance sans authentification d'exécuter des commandes arbitraires sur le système hébergeant le serveur.
La recherche publique la plus récente est apparue lorsque l'entreprise de cybersécurité VulnCheck des tentatives documentées d'exploitation détectées à partir du 21 décembre 2025. Avant cela, les chercheurs en sécurité avaient déjà décrit le problème à la fin novembre - y compris les rapports des sociétés de sécurité - mais l'activité observée dans le réseau des pots à miel de VulnCheck montre qu'il n'y a pas eu d'expériences isolées: les charges utiles livrées ont été constamment répétées, indiquant des opérations au-delà d'un simple test de concept.
La gravité technique de la défaillance est élevée : le score CVSS associé est de 9,8. Cela reflète que l'attaque peut être déclenchée à distance et sans identifiants, avec la possibilité d'exécuter le code sur l'hôte affecté. Metro, le paquet de développement et serveur utilisé par l'écosystème React Native, est inclus dans plusieurs workflows de développement, et lorsque ces cas sont accessibles à partir de réseaux peu fiables, ils deviennent des systèmes de production du point de vue de l'attaquant.
Dans les incidents analysés, les attaquants ont utilisé la vulnérabilité pour déployer un script Power Shell encodé dans Base64. Ce script effectue plusieurs actions hostiles: il supprime la détection en ajoutant des exclusions à Microsoft Defender pour le répertoire de travail actuel et le dossier de temps de l'utilisateur ( C:\ Utilisateurs\\ AppData\ Local\ Temp), établit une connexion directe TCP à un serveur contrôlé par l'attaquant et demande un binaire qui écrit dans le dossier temporaire puis exécute.
Le binaire déchargé, dont l'analyse préliminaire est disponible en VirusTotal, est implémenté dans Rust et contient des mécanismes pour rendre difficile pour vous d'analyser statique, ce qui complique le travail de détection et de réponse. Les connexions sortantes observées dans les intrusions ont indiqué des adresses IP spécifiques associées à la campagne, et la récurrence des mêmes artefacts et canaux suggère qu'il s'agit d'une opération organisée et soutenue.
Cet épisode met une leçon simple mais fréquente sur la table: L'infrastructure de développement n'est plus "le seul développement" lorsqu'elle est accessible par des réseaux extérieurs. Un serveur Metro exposé peut devenir une passerelle avec de graves conséquences, que son but initial soit de tester des interfaces ou de compiler des paquets localement.
Pour les équipes et les gestionnaires, la priorité immédiate doit être de connaître la portée et d'appliquer les corrections. Mettre à jour le métro et les paquets et dépendances liés aux outils @ réaction-native-community / cli C'est la première étape. Il est également recommandé d'examiner la configuration des réseaux et des pare-feu afin d'éviter que les ports de développement ne soient exposés publiquement, ainsi que les réseaux de développement et de production de segments, afin de minimiser l'impact en cas de compromis. Le code du métro lui-même est accessible au public le C'est pas vrai. où les correctifs et les discussions techniques connexes peuvent être consultés.
En plus du patching, il convient de rechercher des indicateurs de compromis dans les machines de développement: vérifier les nouvelles exclusions dans les solutions antivirus, examiner le dossier temporaire à la recherche d'exécutables suspects, et vérifier les connexions sortantes avec les PI qui étaient liés à la campagne. Si une activité malveillante est détectée, la réponse doit inclure l'isolement des systèmes touchés, l'analyse médico-légale et, au besoin, la reconstruction propre du matériel engagé et la révocation des titres de compétence potentiellement filtrés.
La communauté de la sécurité a déjà montré des exemples précédents où des outils de développement mal configurés ont été utilisés par les attaquants. Alors, pas assez pour appliquer les correctifs : il est essentiel d'appliquer les principes de sécurité dans la configuration et le déploiement. Il s'agit d'éviter d'exposer les serveurs de développement à Internet, d'exiger l'accès par VPN ou des tunnels sûrs lorsque cela est strictement nécessaire, et d'utiliser des mécanismes d'authentification et de contrôle d'accès même dans des environnements internes.
Alors que la divulgation technique initiale est arrivée en novembre et que l'exploitation active a été observée en décembre 2025, la visibilité publique de ces intrusions n'est pas toujours immédiate ou générale. Cela peut laisser de nombreuses organisations dans l'incertitude jusqu'à ce que des consultants ou des rapports précis mettent l'activité en lumière. Il est essentiel de vous tenir informé en examinant les sources fiables et les bulletins de sécurité pour réagir rapidement.
En bref, la combinaison d'une vulnérabilité critique dans un composant largement utilisé par les développeurs et les pratiques de déploiement permissive a permis une campagne avec la capacité de fonctionnement à distance et la livraison de logiciels malveillants sophistiqués. Les recommandations sont claires : se garer, limiter l'exposition aux services de développement, vérifier et répondre aux signes d'engagement et mettre en oeuvre des contrôles d'accès stricts. Après ces étapes réduit considérablement la probabilité qu'un outil conçu pour faciliter le développement devienne une voie d'attaque.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...