Uma vulnerabilidade grave no Metro Development Server, componente central do React Native, está sendo explorada ativamente por criminosos desde 21 de dezembro de 2025. O problema afeta uma das plataformas mais populares para o desenvolvimento de aplicativos móveis multiplataforma, usados tanto em Android quanto em iOS.
A exploração foi identificada pela empresa de segurança VulnCheck por meio de sua rede de “canários”, sistemas projetados para atrair e monitorar ataques reais. A falha recebeu o identificador CVE-2025-11953, ganhou o apelido de “Metro4Shell” e foi classificada com pontuação 9,8 em uma escala que vai até 10, indicando criticidade máxima.
A vulnerabilidade havia sido documentada inicialmente pela JFrog em novembro de 2025, junto com uma análise técnica detalhada. Pouco tempo depois, provas de conceito começaram a circular no GitHub, o que reduziu drasticamente a barreira de entrada para a exploração, inclusive por atacantes menos sofisticados.
Ataques repetidos e padronizados
Um dos pontos que mais chamou a atenção dos pesquisadores foi a consistência dos ataques. Entre dezembro de 2025 e janeiro de 2026, os sistemas de armadilha da VulnCheck foram atingidos em três datas diferentes — 21 de dezembro, 4 de janeiro e 21 de janeiro — sempre com os mesmos arquivos maliciosos e a mesma cadeia de ataque. Esse padrão indica uma operação criminosa em andamento, e não testes isolados ou experimentais.
O ataque começa com uma requisição feita via curl para o endpoint vulnerável “/open-url”, contendo um comando PowerShell codificado em Base64, técnica usada para ocultar o conteúdo malicioso. Após a decodificação, o script identifica os diretórios de trabalho e cria exceções no Microsoft Defender, reduzindo ou anulando a proteção nesses caminhos.
Com o ambiente enfraquecido, o script estabelece uma conexão TCP direta com um servidor controlado pelos atacantes, faz uma requisição “GET /windows” e baixa um executável malicioso na pasta temporária do sistema. O arquivo, identificado como “jzDjiqKU.exe”, é executado com uma longa sequência de argumentos, que provavelmente inclui instruções criptografadas.
Malware avançado e multiplataforma
O executável baixado é escrito em Rust e empacotado com UPX, o que dificulta a análise estática. Além disso, ele incorpora técnicas de anti-análise, capazes de detectar ambientes de pesquisa e alterar seu comportamento para evitar engenharia reversa.
A infraestrutura usada nos ataques também hospeda uma versão do malware voltada para Linux, o que amplia significativamente o alcance da campanha e reforça o caráter multiplataforma da ameaça.
Quando o risco não é mais teórico
Segundo a VulnCheck, existe uma desconexão preocupante entre a realidade observada em campo e a percepção pública. Mesmo com exploração ativa desde dezembro, no fim de janeiro a CVE-2025-11953 ainda era tratada em muitos círculos como um risco apenas teórico.
O relatório destaca que atacantes não aguardam validações oficiais, inclusão em listas governamentais ou consenso da indústria para agir. Ferramentas de desenvolvimento como o Metro Development Server são alvos especialmente atrativos: são amplamente utilizadas, raramente monitoradas e quase nunca tratadas com o mesmo rigor de segurança aplicado a sistemas de produção, apesar de muitas vezes estarem expostas à rede.
A importância da detecção antecipada
A VulnCheck conseguiu identificar a exploração logo no início porque seus clientes já tinham acesso antecipado a exploits e regras do Suricata, sistema de detecção de intrusões, desenvolvidos por sua equipe de inteligência ainda em novembro de 2025. Isso permitiu configurar os sistemas canários para detectar imediatamente qualquer tentativa de exploração.
No mesmo dia em que o primeiro ataque foi observado, em 21 de dezembro, a empresa adicionou a CVE-2025-11953 à sua própria lista de vulnerabilidades exploradas ativamente, reforçando o alerta de que o problema já havia ultrapassado o estágio de ameaça potencial.
