React Native CLIパッケージにおける深刻な脆弱性「Metro4Shell」

サイバーセキュリティ企業VulnCheckによると、人気のある「@react-native-community/cli」npmパッケージに含まれるMetro Development Serverに影響を及ぼす重大なセキュリティ脆弱性が悪用されていることが確認されました。この脆弱性「CVE-2025-11953（通称Metro4Shell）」の悪用は、2025年12月21日に初めて観測されました。CVSSスコアが9.8と極めて高く、認証されていないリモート攻撃者が基盤となるホスト上で任意のOSコマンドを実行できるというものです。この脆弱性の詳細は、2025年11月にJFrogによって最初に文書化されています。

攻撃の手口とペイロード

VulnCheckのハニーポットネットワークで検出された攻撃では、脅威アクターは脆弱性を悪用してBase64エンコードされたPowerShellスクリプトを配信しています。このスクリプトは、実行されると以下の一連の悪質なアクションを実行するように設定されています。

• 現在の作業ディレクトリと一時フォルダ（”C:\Users\<Username>\AppData\Local\Temp”）に対するMicrosoft Defender Antivirusの除外設定。
• 攻撃者が制御するホストとポート（”8.218.43[.]248:60124″）への未加工のTCP接続確立。
• データ取得要求の送信、一時ディレクトリへのファイル書き込み、そしてその実行。

ダウンロードされるバイナリはRust製で、静的解析を妨げるアンチ解析チェック機能を備えています。攻撃の発信元として、以下のIPアドレスが特定されています。

• 5.109.182[.]231
• 223.6.249[.]141
• 134.209.69[.]155

運用の実態と開発インフラの再考

VulnCheckはこの活動を、実験的または探索的なものではなく、一貫した運用目的の攻撃であると述べています。複数の週にわたって配信されたペイロードが同じであることは、脆弱性の探索や概念実証のテストではなく、実運用での悪用を示唆しています。「CVE-2025-11953は、その存在自体が特筆すべきことではありません。むしろ、防御側が繰り返し学び続けるパターンを再確認させるという点で注目に値します。つまり、意図にかかわらず、開発インフラは到達可能になった瞬間に本番インフラとなるのです。」

CISAが警告を発令し、連邦機関に修正を指示

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2026年2月5日にCVE-2025-11953を既知の悪用済み脆弱性（KEV）カタログに追加しました。これにより、連邦政府機関（FCEB）は2026年2月26日までに修正を適用することが義務付けられています。

元記事: https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html