Se ha observado que los actores de amenazas explotan una falla de seguridad crítica que afecta al servidor de desarrollo de Metro en el popular paquete npm "@react -native-community/cli».

Empresa de ciberseguridad Comprobación de Vuln dijo observó por primera vez la explotación de CVE-2025-11953 (también conocido como Metro4Shell) el 21 de diciembre de 2025. Con una puntuación CVSS de 9,8, la vulnerabilidad permite a los atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en el host subyacente. Los detalles de la falla fueron primera documentación por JFrog en noviembre de 2025.

A pesar de que ha pasado más de un mes desde la explotación inicial en la naturaleza, la «actividad aún no ha recibido un amplio reconocimiento público», añadió.

En el ataque detectado contra su red honeypot, los actores de la amenaza han utilizado la falla como arma para entregar un script de PowerShell codificado en Base64 que, una vez analizado, se configura para realizar una serie de acciones, incluidas las exclusiones de Microsoft Defender Antivirus para el directorio de trabajo actual y el carpeta temporal (» C:\Users\<Username>\ AppData\ Local\ Temp»).

adsense

El script de PowerShell también establece una conexión TCP sin procesar con un host y un puerto controlados por el atacante («8.218.43 [.] 248:60124») y envía una solicitud para recuperar datos, escribirlos en un archivo del directorio temporal y ejecutarlos. El binario descargado se basa en Rust y cuenta con controles antianálisis para impedir la inspección estática.

Se ha descubierto que los ataques se originan en las siguientes direcciones IP:

  • 5.109.182 [.] 231
  • 23.6.249 [.] 141
  • 134209,69 [.] 155

Al describir la actividad como no experimental ni exploratoria, VulnCheck dijo que las cargas útiles entregadas fueron «consistentes durante varias semanas de explotación, lo que indica un uso operativo más que una investigación de vulnerabilidades o pruebas de concepto».

«El CVE-2025-11953 no es destacable porque existe. Es notable porque refuerza un patrón que los defensores siguen reaprendiendo. La infraestructura de desarrollo se convierte en infraestructura de producción en el momento en que está disponible, independientemente de la intención».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.