Hackers Exploiting React Native’s Metro Server in the Wild to Attack Developers

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่การประมวลผลโค้ดระยะไกล (RCE) ที่มีความรุนแรงสูง (CVE-2025-11953 หรือ ‘Metro4Shell’) ใน React Native’s Metro Development Server เพื่อโจมตีนักพัฒนา โดยส่งมัลแวร์ขั้นสูงเข้าสู่ระบบ Windows และ Linux ช่องโหว่นี้เกิดจากการตั้งค่าเริ่มต้นของเซิร์ฟเวอร์ที่ผูกกับอินเทอร์เฟซเครือข่ายภายนอก และเปิดเผย endpoint `/open-url` ที่เสี่ยงต่อ OS command injection ทำให้ผู้โจมตีที่ไม่มีการยืนยันตัวตนสามารถรันคำสั่งเชลล์ได้ การโจมตีถูกตรวจพบครั้งแรกโดย VulnCheck ในเดือนธันวาคม 2025 และยังคงดำเนินต่อเนื่องในเดือนมกราคม 2026 แม้ว่าช่องโหว่จะยังไม่เป็นที่รับรู้ในวงกว้างก็ตาม

Severity: วิกฤต

System Impact:

• React Native development environments
• Metro Development Server (ที่มาพร้อมกับแพ็คเกจ npm @react-native-community/cli เวอร์ชัน 4.8.0 ถึง 20.0.0-alpha.2)
• ระบบปฏิบัติการ Windows
• ระบบปฏิบัติการ macOS
• ระบบปฏิบัติการ Linux

Technical Attack Steps:

1. ผู้โจมตีเล็งเป้าหมายเซิร์ฟเวอร์ React Native Metro Development ที่มีช่องโหว่และเปิดเผยสู่เครือข่ายภายนอก
2. ใช้ประโยชน์จากช่องโหว่ OS command injection ใน endpoint `/open-url` ของ Metro Development Server
3. ส่งเพย์โหลด PowerShell ที่เข้ารหัส Base64 ผ่าน `cmd.exe` เป็นขั้นตอนแรก
4. สคริปต์ PowerShell ที่ถอดรหัสแล้วจะทำงานและเริ่มลำดับการโจมตี
5. สคริปต์จะเพิ่มข้อยกเว้นใน Microsoft Defender เพื่อหลีกเลี่ยงการตรวจจับ
6. สร้างการเชื่อมต่อ TCP ดิบไปยังโครงสร้างพื้นฐานของผู้โจมตี
7. ส่งคำขอ `GET /windows` (หรือ `/linux`) เพื่อดาวน์โหลดเพย์โหลดขั้นถัดไป
8. ไฟล์ปฏิบัติการที่ดาวน์โหลดมา (มัลแวร์ Rust ที่แพ็คด้วย UPX) จะถูกเขียนลงในไดเรกทอรีชั่วคราวของระบบ
9. มัลแวร์จะถูกสั่งทำงานพร้อมกับสตริงอาร์กิวเมนต์ที่ยาว และมีเทคนิคการต่อต้านการวิเคราะห์

Recommendations:

Short Term:

• อัปเกรด `@react-native-community/cli` เป็นเวอร์ชัน 20.0.0 หรือใหม่กว่าทันที

Long Term:

• ปฏิบัติต่อโครงสร้างพื้นฐานสำหรับการพัฒนาเสมือนเป็นพื้นผิวการโจมตีระดับ Production
• ตรวจสอบให้แน่ใจว่า Metro Development Servers ไม่ถูกเปิดเผยต่อเครือข่ายที่ไม่น่าเชื่อถือ
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อแยกสภาพแวดล้อมการพัฒนาออกจากอินเทอร์เฟซที่เข้าถึงอินเทอร์เน็ตได้
• เฝ้าระวังการใช้ประโยชน์จากช่องโหว่อย่างกระตือรือร้น โดยไม่ต้องรอการยืนยันจากสาธารณะหรือคำแนะนำอย่างเป็นทางการ

Source: https://cybersecuritynews.com/react-native-metro-server-exploit/