يشهد عالم الأمن السيبراني تطورات متسارعة، حيث تم رصد استغلال ثغرة أمنية حرجة في حزمة ‘@react-native-community/cli’ الشهيرة ضمن بيئة تطوير Metro. تُعرف هذه الثغرة باسم CVE-2025-11953، وتُعرف أيضاً بـ “Metro4Shell”، وتشكل تهديداً كبيراً للمطورين الذين يعتمدون على هذه الأدوات.
وقد لاحظت شركة الأمن السيبراني VulnCheck أولى عمليات استغلال الثغرة في 21 ديسمبر 2025. وبسبب تصنيفها العالي الذي يصل إلى 9.8 ضمن مقياس CVSS، تسمح الثغرة للمهاجمين عن بعد وغير المصادق عليهم بتنفيذ أوامر نظام التشغيل بشكل تعسفي على الجهاز المضيف. بدأت التفاصيل حول هذه الثغرة بالظهور لأول مرة في نوفمبر 2025 من قبل شركة JFrog.
استغلال ثغرة Metro4Shell الأمنية
على الرغم من مرور أكثر من شهر على رصد الاستغلال الأولي للثغرة في بيئة العمل الحقيقية، إلا أن النشاط الأمني المرتبط بها لم يحظَ باعتراف عام واسع. يشير هذا إلى أن الجهات الخبيثة قد تكون تعمل بحذر أو أن التأثير لم يصل بعد إلى نطاق واسع يمكن ملاحظته بسهولة.
في الهجوم الذي تم رصده على شبكة المصيدة الخاصة بالشركة، استخدم المهاجمون هذه الثغرة الخطيرة لتوزيع برنامج نصي مكتوب بلغة PowerShell، مشفر بصيغة Base64. بعد فك شفرة البرنامج النصي، يقوم بتنفيذ سلسلة من الإجراءات. تشمل هذه الإجراءات إضافة استثناءات في برنامج Microsoft Defender Antivirus، وذلك لاستهداف المجلد الحالي ومجلد الملفات المؤقتة.
إضافة إلى ذلك، يقوم البرنامج النصي لـ PowerShell بإنشاء اتصال TCP مباشر مع خادم خارجي يتحكم به المهاجم، ومن ثم يرسل طلباً لاسترجاع بيانات. تُكتب هذه البيانات في ملف داخل المجلد المؤقت، ثم يتم تنفيذها. ويعتمد الملف الثنائي الذي تم تنزيله على لغة Rust، ويحتوي على آليات لمقاومة التحليل الثابت، مما يجعل اكتشاف طبيعته الحقيقية أكثر صعوبة.
منشأ الهجمات
تشير التحقيقات إلى أن الهجمات التي تستغل ثغرة Metro4Shell الأمنية تنبع من عناوين IP محددة. هذه العناوين هي: 5.109.182.231، و 223.6.249.141، و 134.209.69.155. يساعد تتبع هذه المصادر في فهم نطاق الهجمات وجهود الجهات الفاعلة.
وفي وصفها للنشاط المرصود، أكدت VulnCheck أن الهجمات ليست تجريبية أو استكشافية. وبدلاً من ذلك، أظهرت البرامج الضارة التي تم توزيعها اتساقاً ملحوظاً على مدار أسابيع من الاستغلال. وهذا يدل على استخدام تشغيلي حقيقي بدلاً من مجرد اختبار لإثبات جدوى الثغرة أو مفهومها.
تؤكد الثغرة CVE-2025-11953 نمطاً مستمراً في عالم الأمن السيبراني، وهو أن البنية التحتية للتطوير تصبح بنية تحتية للإنتاج بمجرد أن تصبح متاحة للوصول، بغض النظر عن النوايا الأصلية. يعكس هذا الحاجة الماسة لتعزيز الدفاعات الأمنية للمطورين والشركات على حد سواء.