Uma vulnerabilidade crítica no servidor de desenvolvimento Metro, usada por muitas aplicações baseadas em React Native, está sendo explorada em ambientes reais e levanta um lembrete duro para quem administra infra-estruturas de desenvolvimento. O erro, registrado como CVE-2025-11953 e apodado Metro4Shell, permite a atacantes remotos sem autenticação executar comandos arbitrários no sistema que hospeda o servidor.
A pesquisa pública mais recente apareceu quando a assinatura de cibersegurança VulnCheck documentou tentativas de exploração detectados a partir de 21 de dezembro de 2025. Antes disso, pesquisadores de segurança já haviam descrito o problema no final de novembro, entre eles relatos de empresas de segurança, mas a atividade observada na rede de honeypots de VulnCheck mostra que não se tratou de experimentos isolados: as cargas úteis entregues se repetiram de maneira consistente, o que indica operações além de um simples teste de conceito.
A gravidade técnica da falha é elevada: a pontuação CVSS associada é de 9.8. Isso reflete que o ataque pode ser desencadeado remotamente e sem credenciais, com capacidade para executar código no host afetado. Metro, embalagem e servidor de desenvolvimento que usa o ecossistema de React Native, está incluído em vários fluxos de trabalho de desenvolvimento, e quando essas instâncias ficam acessíveis de redes não confiáveis passam a se comportar como sistemas de produção do ponto de vista do atacante.
Nos incidentes analisados, os atacantes usaram a vulnerabilidade para implantar um programa de PowerShell codificado em Base64. Esse programa realiza várias ações hostis: suprime a detecção ao adicionar exclusões na Microsoft Defender para a pasta de trabalho atual e para a pasta temporária do usuário ( C:\Users\\AppData\ Local\Temp), estabelece uma conexão TCP direta para um servidor controlado pelo atacante e pede um binário que escreve na pasta temporária e depois executa.
O binário baixado, cuja análise preliminar está disponível em Vírus total, está implementado em Rust e contém mecanismos para dificultar sua análise estática, o que complica o trabalho de detecção e resposta. As conexões salientes observadas nas intrusões apontaram para endereços IP específicos associados à campanha, e a recorrência dos mesmos artefatos e canais sugere que se trata de uma operação organizada e sustentada.
Este episódio volta a colocar sobre a mesa uma lição simples, mas frequente: A infraestrutura destinada ao desenvolvimento deixa de ser "apenas desenvolvimento" quando é acessível a partir de redes externas. Um servidor de Metro exposto pode tornar-se uma porta de entrada com consequências graves, independentemente do seu propósito original ser testar interfaces ou compilar pacotes locais.
Para equipes e administradores a prioridade imediata deve ser conhecer o alcance e aplicar correções. Actualizar os pacotes e dependências relacionados ao Metro e à ferramenta @react- native- community/cli É o primeiro passo. Também é aconselhável rever a configuração de redes e firewalls para evitar que portos de desenvolvimento fiquem expostos publicamente, bem como segmentar redes de desenvolvimento e produção para minimizar o impacto se uma instância for comprometida. O código do próprio Metro está disponível publicamente em GitHub, onde podem ser consultados adesivos e discussões técnicas relacionadas.
Além de adesivos, convém procurar indicadores de compromisso nas máquinas de desenvolvimento: verificar exclusões novas em soluções antivírus, rever a pasta temporária em busca de executáveis suspeitos, e auditar conexões salientes para IPs que se vincularam à campanha. Se for detectada atividade maliciosa, a resposta deve incluir isolamento dos sistemas afetados, análise forense e, quando necessário, a reconstrução limpa dos equipamentos comprometidos e a revogação de credenciais potencialmente filtradas.
A comunidade de segurança já mostrou exemplos anteriores onde ferramentas de desenvolvimento mal configuradas foram aproveitadas por atacantes. Por isso, Não basta aplicar adesivos: é imprescindível aplicar princípios de segurança na configuração e na implantação. Isso passa por evitar expor servidores de desenvolvimento à Internet, exigir acesso por VPN ou túneis seguros quando estritamente necessário, e empregar mecanismos de autenticação e controle de acesso mesmo em ambientes internos.
Embora a divulgação técnica inicial tenha chegado em novembro e a exploração ativa tenha sido observada em dezembro de 2025, a visibilidade pública dessas invasões nem sempre é imediata ou ampla. Isso pode deixar muitas organizações na incerteza até que consultores ou relatórios específicos retiram à luz a atividade. Manter-se informado revisando fontes confiáveis e boletins de segurança é chave para reagir rapidamente.
Em suma, a combinação de vulnerabilidade crítica em um componente amplamente utilizado por desenvolvedores e práticas de implantação permissivas permitiu uma campanha com capacidade de execução remota e entrega de malware sofisticado. As recomendações são claras: corrigir, limitar a exposição de serviços de desenvolvimento, auditar e responder a sinais de compromisso e aplicar controlos de acesso rigorosos. Seguir estes passos reduz significativamente a probabilidade de que uma ferramenta concebida para facilitar o desenvolvimento termine sendo uma via de ataque.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...