黑客正针对开导者群体发起迤逦，其工夫是诳骗 React Native 框架 Metro 办事器中编号为 CVE-2025-11953 的高危症结，向 Windows 与 Linux 系统投放坏心载荷。

在 Windows 系统环境下，未授权迤逦者可借助该症结，通过发送 POST 苦求推论纵脱操作系统号召；而在 Linux 和 macOS 系统中，该症结则可能导致迤逦者在有限参数禁止的前提下，运行纵脱可推论文献。

Metro 是 React Native 项指标默许 JavaScript 打包用具，是应用开导阶段构建和运行要领的中枢组件。

默许情况下，Metro 会绑定外部会聚接口，并通达仅供开导调试使用的 HTTP 端点（/open-url），以欢快土产货开导需求。 

究诘东谈主员发现了这一症结，并于前年 11 月初对外暴露。症结公开后，多个认识考据（PoC）诳骗要领就地出现。

据悉，该症结的根源在于 Metro 办事器的 /open-url HTTP 端点会接收 POST 苦求顶用户提交的 URL 参数，且该参数未经任何安全清算，便径直传递给系统的 open ( ) 函数推论。

该症结影响边界隐讳 @react-native-community/cli-server-api 用具的 4.8.0 至 20.0.0-alpha.2 版块，官方已在 20.0.0 及后续版块中完成症结建造。 

2025 年 12 月 21 日，有要挟者出手诳骗这一症结发起迤逦，该迤逦作为被定名为 Metro4Shell。尔后在次年 1 月 4 日和 21 日，金沙电玩城app下载迤逦者仍在通过该症结投放交流的坏心载荷。 

迤逦者已通过该症结在 Linux 和 Windows 平台得手送达高档坏心载荷，这标明 Metro4Shell 已成为一种切实可行的跨平台运行拜访工夫。

究诘东谈主员发现，在这三次迤逦中，迤逦者均将进程 Base64 编码的 PowerShell 坏心载荷荫藏在坏心苦求的 HTTP POST 苦求体中，发送至清楚在外的 Metro 办事器端点。

这些载荷解码并启动后，会推论以下一系列坏心操作：

1. 禁用终局戒备：调用 Add-MpPreference 号召，将面前责任目次和系统临时目次添加至微软 Defender 的摒除旅途，阴私查杀；

2. 赢得后续载荷：与迤逦者禁止的办事器配置原始 TCP 络续，发送 GET /windows 苦求以赢得下一阶段的坏心要领；

3. 写入坏心文献：将接收的数据写入系统临时目次，保存为可推论文献；

4. 推造孽意要领：运行下载的二进制文献，并附带一段由迤逦者指定的超长参数字符串。 

这次迤逦中投放的 Windows 平台载荷，是一个基于 Rust 言语开导、经 UPX 加壳科罚的二进制文献，内置基础反分析逻辑。迤逦者禁止的归并办事器中，还存放有对应的 Linux 平台坏心要领，可见该迤逦作为同期隐讳两大主流操作系统。 

据扫描数据娇傲，当今清楚在公网环境中的 React Native Metro 办事器约有 3500 台。 尽管该症结已被迤逦者捏续诳骗跳跃一个月，但在症结诳骗掂量评分系统中，其风险评分仍处于较低水平。

究诘东谈主员强调："企业切不能恭候该症结被列入 CISA 已知被诳骗症结目次、厂商发布关连通报或行业变成庸俗共鸣后，才经受戒备设施。"

• 金沙电玩城app
• 诓骗
• 黑客
• React
• Native