Pesquisadores de cibersegurança alertam que uma falha crítica no ambiente de desenvolvimento React Native está sendo explorada ativamente por cibercriminosos. A vulnerabilidade, identificada como CVE‑2025‑11953 e apelidada de Metro4Shell, permite a execução remota de código sem autenticação, afetando diretamente o Metro Server, utilizado para testes e execução local de projetos React Native. Com pontuação CVSS 9.8, a falha é considerada extremamente grave.
Ela pode ser explorada por meio de simples requisições HTTP manipuladas, capazes de acionar comandos diretamente no sistema da vítima. O servidor Metro, muitas vezes deixado acessível por padrão, representa um vetor de ataque perigoso para ambientes de desenvolvimento. Segundo os pesquisadores, os primeiros sinais de exploração surgiram ainda em dezembro de 2025. Os ataques envolvem scripts maliciosos que desativam proteções como o Microsoft Defender e criam conexões com servidores controlados pelos invasores para download de malware adicional. Esses scripts são entregues por meio de requisições disfarçadas e codificadas, e uma vez executados, instalam binários em Rust com técnicas básicas de ofuscação para dificultar sua detecção. Os ataques atingem tanto sistemas Windows quanto Linux, ampliando a superfície de risco.
A análise dos ataques foi feita por meio de honeypots, sistemas criados para detectar atividades maliciosas em tempo real. As tentativas de invasão mostram que os cibercriminosos estão automatizando a exploração para identificar e comprometer servidores Metro expostos na internet. De acordo com estimativas, existem cerca de 3.500 instâncias vulneráveis do Metro Server acessíveis publicamente. Muitos desenvolvedores não percebem que, ao iniciar seus servidores localmente, estão abrindo portas para possíveis ataques remotos, especialmente quando não há firewall ou restrições de IP. Apesar da gravidade, a falha ainda não foi amplamente divulgada, o que pode atrasar a aplicação de correções em muitos ambientes.
