Hackers explotan fallo crítico Metro4Shell en el paquete npm de React Native CLI

Actores de amenazas han sido observados explotando una vulnerabilidad crítica que afecta al servidor de desarrollo Metro en el popular paquete npm "@react-native-community/cli". La empresa de ciberseguridad VulnCheck informó que detectó la explotación de CVE-2025-11953 (conocida como Metro4Shell) el 21 de diciembre de 2025. Con una puntuación CVSS de 9,8, la falla permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en el host subyacente. Los detalles de la vulnerabilidad fueron documentados por primera vez por JFrog en noviembre de 2025. A pesar de más de un mes desde la explotación inicial, la actividad aún no ha recibido un amplio reconocimiento público.

Actores de amenazas han sido observados explotando una vulnerabilidad crítica que impacta al servidor de desarrollo Metro en el popular paquete npm "@react-native-community/cli".

La empresa de ciberseguridad VulnCheck informó que detectó por primera vez la explotación de CVE-2025-11953 (conocida como Metro4Shell) el 21 de diciembre de 2025. Con una puntuación CVSS de 9,8, la vulnerabilidad permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en el host subyacente. Los detalles de la falla fueron documentados inicialmente por JFrog en noviembre de 2025.

A pesar de haber transcurrido más de un mes desde la explotación inicial en la naturaleza, la "actividad aún no ha recibido un amplio reconocimiento público", agregó VulnCheck.

En el ataque detectado contra su red de honeypots, los actores de amenazas han utilizado la falla para enviar un script de PowerShell codificado en Base64 que, una vez analizado, está configurado para realizar una serie de acciones, incluyendo exclusiones de Microsoft Defender Antivirus para el directorio de trabajo actual y la carpeta temporal ("C:\Usuarios\<NombreDeUsuario>\AppData\Local\Temp").

El script de PowerShell también establece una conexión TCP sin procesar a un host y puerto controlados por el atacante ("8.218.43[.]248:60124") y envía una solicitud para recuperar datos, escribirlos en un archivo en el directorio temporal y ejecutarlos. El binario descargado está basado en Rust y cuenta con comprobaciones antianálisis para dificultar la inspección estática.

Los ataques se han originado desde las siguientes direcciones IP:

5.109.182[.]231
223.6.249[.]141
134.209.69[.]155

Al describir la actividad como ni experimental ni exploratoria, VulnCheck afirmó que las cargas útiles entregadas fueron "consistentes durante varias semanas de explotación, lo que indica un uso operativo en lugar de sondeo de vulnerabilidades o pruebas de concepto".

CVE-2025-11953 no es notable porque exista. Es notable porque refuerza un patrón que los defensores siguen reaprendiendo. La infraestructura de desarrollo se convierte en infraestructura de producción en el momento en que es accesible, independientemente de la intención.

Actualización

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 5 de febrero de 2026, agregó CVE-2025-11953 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las correcciones antes del 26 de febrero de 2026.

(La historia se actualizó después de su publicación el 6 de febrero de 2026 para incluir detalles de la alerta de CISA).