Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure
2026/02/03 SecurityAffairs — React Native CLI の Metro 開発サーバに存在する深刻な脆弱性 CVE-2025-11953 が、現在も攻撃者により積極的に悪用されている状況が確認されている。React Native Community CLI により起動される Metro 開発サーバは、デフォルト設定で外部インターフェイスにバインドされており、OS コマンド・インジェクションに対して脆弱なエンドポイントを公開している。それを悪用する未認証のネットワーク攻撃者は、POST リクエストを送信するだけで、任意のファイル実行が可能になる。特に Windows 環境では、引数を完全に制御した状態での、任意のシェル・コマンドの実行に至る恐れがある。
Metro は React Native で使用される、JavaScript バンドラー兼開発サーバであり、デフォルト構成で運用される場合には、Windows 上で OS コマンドを実行可能なエンドポイントを、未認証のリモート攻撃者に対して公開するリスクがある。VulnCheck の研究者によると、広範な公開が行われる数週間前から、この脆弱性に対する悪用試行が実環境で継続的に観測されていたとのことだ。
VulnCheck は、2025年12月21日と 2026年1月にも、実環境での CVE-2025-11953 (通称:Metro4Shell) の悪用を確認しており、攻撃者による継続的な悪用が示されている。その一方で、この活動は公的な認知を得ておらず、EPSS は 0.00405 という低い悪用確率を割り当てたままである。この脆弱性の悪用が容易であり、インターネット上に露出する脆弱なサーバが多数存在している点を踏まえると、この乖離は極めて危険である。
VulnCheck が公開したアドバイザリでは、実環境での初期悪用が確認されてから 1 か月以上が経過した時点でも一連の攻撃活動が、十分に認知されていないと指摘されている、つまり、観測された悪用と広範な認知との間に、大きなギャップが存在することになる。特に、検索データが示すように、パブリックなインターネット上に多数の Metro が露出しており、かつ悪用が容易な脆弱性が存在するため、このギャップが深刻な問題となる。
VulnCheck が確認しているのは、テスト目的ではなく実運用環境で活発かつ持続的に、この脆弱性が悪用されている状況である。攻撃者は cmd.exe を経由して、多段階で構成される Base64 エンコード PowerShell ローダーを配信し、Microsoft Defender の保護機能を無効化した上で、生の TCP 通信を用いてペイロードを取得し、ダウンロードしたバイナリを実行していた。展開されたマルウェアは UPX によりパックされた Rust ペイロードであり、解析回避のための基本的な機能を備えるものだ。
専門家たちが指摘するのは、これらの攻撃が数週間にわたり、同一のネットワーク・インフラと侵害手法を再利用していた点である。VulnCheck は、公的認知の欠如が防御側の準備不足を招くリスクを高めると警告しており、実際の攻撃が早まる可能性が高くなると強調している。
以下は、攻撃に関与したネットワーク・インフラである。
| Indicator | Observed Role |
|---|---|
| 65.109.182.231 | Exploitation source |
| 223.6.249.141 | Exploitation source |
| 134.209.69.155 | Exploitation source |
| 8.218.43.248 | Payload host (Windows) |
| 47.86.33.195 | Payload host (Windows and Linux) |
この報告書が浮き彫りにするのは、CVE-2025-11953 に注目すべき理由が、その脆弱性の存在にあるのではなく、防御側が繰り返し直面してきたパターンが繰り返され得る可能性である。つまり、その意図にかかわらず、開発用インフラへの外部からの到達が可能となった時点で、その環境は本番インフラへと変質してしまう。
この問題の原因は、React Native の開発を支える Metro サーバの脆弱性 CVE-2025-11953 により、初期設定の状態で外部からの接続を無制限に受け入れるところにあります。本来は、開発者の手元だけで動くはずのツールが、インターネット上に公開された状態になっており、さらに送られてきた命令を OS に引き渡してしまう不備が重なったことで、未認証でのリモート攻撃という、きわめて高いリスクが生じました。特に、Windows 環境ではシェルコマンドが実行されやすく、セキュリティ機能を無効化する攻撃者が、ウイルスを動かすなどの深刻な事態につながっています。開発用の便利な仕組みが、そのまま外部からの侵入口として悪用されてしまったことが根本的な要因です。ご利用のチームは、ご注意ください。よろしければ、React での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.