Uma falha de segurança está sendo explorada ativamente por criminosos desde 21 de dezembro de 2025. A vulnerabilidade afeta o Metro Development Server, um componente essencial do React Native, uma das plataformas mais populares para criar aplicativos mobile que funcionam tanto em Android quanto iOS.
A descoberta foi feita pela empresa de segurança cibernética VulnCheck através de sua rede de “canários”, uma espécie de sistemas armadilha que atraem e monitoram ataques reais. A falha, catalogada oficialmente como CVE-2025-11953 e apelidada de “Metro4Shell”, recebeu a pontuação de 9,8 em uma escala de gravidade que vai até 10.
smart_display
Nossos vídeos em destaque
Porta escancarada em ambientes de desenvolvimento
O Metro é o servidor de desenvolvimento que “empacota” código JavaScript e permite que desenvolvedores testem seus aplicativos React Native. Em configurações padrão, esse servidor pode ficar exposto à internet e disponibiliza um endpoint chamado “/open-url”.
Em sistemas Windows, qualquer pessoa pode enviar uma requisição simples para esse endpoint e executar comandos diretamente no sistema operacional, sem precisar de senha ou autenticação.
A vulnerabilidade foi documentada pela primeira vez pela empresa JFrog em novembro de 2025, que publicou uma análise técnica detalhada. Logo em seguida, múltiplas “provas de conceito” – códigos que demonstram como explorar a falha – apareceram no GitHub, tornando o ataque acessível mesmo para invasores menos experientes.
Como funciona o ataque
O que mais chamou a atenção dos pesquisadores foi a natureza consistente dos ataques observados. Entre dezembro de 2024 e janeiro de 2026, os invasores atacaram os sistemas armadilha da VulnCheck em três datas diferentes – 21 de dezembro, 4 de janeiro e 21 de janeiro – sempre usando exatamente os mesmos arquivos maliciosos e a mesma metodologia, confirmando tratar-se de uma operação criminal real, não testes ou experimentação.
O ataque ocorre em cinco etapas coordenadas. Primeiro, os criminosos enviam uma requisição através da ferramenta curl para o endpoint vulnerável “/open-url” contendo um comando PowerShell codificado em Base64, método que disfarça o código malicioso.
Uma vez decodificado, o script identifica os diretórios de trabalho e adiciona exceções no Microsoft Defender para desativar a proteção nessas áreas.
Com as defesas neutralizadas, o script abre uma conexão TCP direta com um servidor controlado pelos invasores, envia uma requisição “GET /windows” e baixa um arquivo executável malicioso (“jzDjiqKU.exe”) na pasta temporária do Windows. O arquivo é então executado com uma longa string de argumentos que provavelmente contém instruções criptografadas.
O malware baixado é escrito em Rust e compactado com UPX, tornando-o difícil de examinar. Além disso, contém lógica anti-análise que detecta quando está sendo estudado por pesquisadores de segurança, alterando seu comportamento para proteger seus segredos. A mesma infraestrutura hospeda também uma versão “linux” do malware, ampliando significativamente o alcance potencial dos ataques para múltiplos sistemas operacionais.
O problema da percepção versus realidade
A VulnCheck destaca uma desconexão perigosa: enquanto a empresa observou exploração ativa desde dezembro, a discussão pública no final de janeiro ainda tratava a CVE-2025-11953 como “risco teórico” e não como “ameaça real”.
“Os atacantes não esperam por listagens KEV, resumos de fornecedores ou narrativas de consenso”, alerta o relatório. KEV (Known Exploited Vulnerabilities) é uma lista mantida pela agência de segurança cibernética dos EUA (CISA) catalogando vulnerabilidades exploradas, mas que frequentemente é atualizada tarde demais.
.gif)
Ferramentas de desenvolvimento como o Metro são alvos atraentes porque são amplamente usadas, raramente monitoradas e quase nunca protegidas como sistemas de produção – apesar de ficarem igualmente expostas quando acessíveis pela rede.
A vantagem da detecção precoce
A VulnCheck conseguiu observar essa exploração tão cedo porque seus clientes já tinham acesso a exploits e regras Suricata – um sistema de detecção de intrusões – desenvolvidos pela equipe de Inteligência de Acesso Inicial da empresa já em novembro de 2024.
Essa visibilidade antecipada permitiu que configurassem seus sistemas canários para detectar os ataques assim que começaram.
A empresa adicionou automaticamente a CVE-2025-11953 à sua própria lista de vulnerabilidades exploradas (VulnCheck KEV) no mesmo dia em que observou o primeiro ataque, 21 de dezembro.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
Autor: TecMundo
