Vulnerabilidade crítica em React Native explorada em ataques reais

Uma vulnerabilidade crítica no ecossistema React Native está a ser explorada ativamente por cibercriminosos desde o final de dezembro, o que contraria a perceção generalizada de que se trataria apenas de um risco teórico. O alerta é da empresa de inteligência de vulnerabilidades VulnCheck, que identificou ataques em curso associados à falha.

A vulnerabilidade, identificada como CVE-2025-11953 e com uma pontuação CVSS de 9,8, afeta o pacote @react-native-community/cli, amplamente utilizado no desenvolvimento de aplicações React Native e com cerca de dois milhões de downloads semanais. O problema foi divulgado publicamente no início de novembro, mas só agora surgem provas claras da sua exploração no mundo real.

Segundo a VulnCheck, os primeiros indícios de exploração remontam a 21 de dezembro, com nova atividade registada a 4 e 21 de janeiro, o que indica um uso continuado da falha em campanhas maliciosas. Apesar disso, grande parte da discussão pública continua a classificar a vulnerabilidade como meramente teórica, criando um desfasamento perigoso entre o risco real e a perceção dos defensores.

A falha, apelidada de Metro4Shell, reside no Metro, o servidor de desenvolvimento e bundler JavaScript usado por aplicações React Native durante as fases de desenvolvimento e teste. Em determinadas configurações, o Metro pode ficar exposto à internet, permitindo a execução remota de comandos no sistema operativo através de simples pedidos POST, sem autenticação.

Os investigadores observaram ataques em que os cibercriminosos recorrem a um loader em PowerShell, concebido para desativar o Microsoft Defender, estabelecer comunicações diretas com servidores controlados pelos atacantes e descarregar cargas maliciosas adicionais. O payload final, desenvolvido em Rust, inclui mecanismos básicos de evasão e tem como alvo sistemas Windows e Linux.

“A desativação deliberada das proteções do Microsoft Defender logo na fase inicial demonstra que os atacantes anteciparam a presença de soluções de segurança e incorporaram técnicas de evasão no próprio fluxo de ataque”, sublinha a VulnCheck.

O risco é agravado pelo facto de existirem milhares de instâncias React Native acessíveis publicamente, muitas delas associadas a infraestruturas de desenvolvimento que, na prática, acabam por funcionar como ambientes expostos. Como alerta a VulnCheck, “a infraestrutura de desenvolvimento torna-se infraestrutura de produção no momento em que fica acessível externamente, independentemente da intenção”.

Os especialistas recomendam que as organizações identifiquem rapidamente exposições do Metro à internet, apliquem as correções disponíveis e restrinjam o acesso a servidores de desenvolvimento, reduzindo a superfície de ataque e prevenindo compromissos mais graves na cadeia de fornecimento de software.