كشفت تقارير أمنية حديثة أن جهات تهديد سيبراني بدأت بالفعل في استغلال ثغرة خطيرة في خادم التطوير Metro المرتبط بحزمة npm الشهيرة “@react-native-community/cli”. الثغرة، التي تحمل الرمز CVE-2025-11953 والمعروفة باسم Metro4Shell، حصلت على تقييم خطورة مرتفع (9.8) وفق معيار CVSS، وتتيح للمهاجمين تنفيذ أوامر نظام تشغيل بشكل غير مصرح به على الأجهزة المستهدفة.
تفاصيل الاستغلال وأول رصد للهجمات
شركة الأمن السيبراني VulnCheck أوضحت أنها رصدت أولى محاولات الاستغلال في 21 ديسمبر 2025، أي بعد أسابيع قليلة من توثيق الثغرة من قبل JFrog في نوفمبر. ورغم مرور أكثر من شهر على بدء الهجمات، فإن النشاط لم يحظَ باعتراف واسع في المجتمع التقني، ما يزيد من خطورة الموقف.
الهجمات التي تم رصدها عبر شبكة “Honeypot” الخاصة بالشركة أظهرت أن المهاجمين استخدموا سكربت PowerShell مشفر بـ Base64 لتنفيذ سلسلة من الإجراءات، أبرزها تعطيل بعض خصائص Microsoft Defender Antivirus عبر استثناء مجلدات العمل والمجلد المؤقت.
آلية الهجوم وسلسلة العدوى
السكربت الخبيث يقوم بإنشاء اتصال TCP مباشر مع خادم يتحكم فيه المهاجمون على العنوان “8.218.43[.]248:60124″، ثم يرسل طلباً لجلب بيانات تُكتب في مجلد مؤقت وتُنفذ لاحقاً. الملف المنزّل مكتوب بلغة Rust ويحتوي على تقنيات مضادة للتحليل تهدف إلى إعاقة عمليات الفحص الثابت.
الهجمات تم تتبعها إلى عدة عناوين IP، من بينها:
- 5.109.182[.]231
- 223.6.249[.]141
- 134.209.69[.]155
دلالات أمنية أعمق
بحسب VulnCheck، فإن النشاط ليس تجريبياً أو استكشافياً، بل يعكس استخداماً عملياً متكرراً على مدار أسابيع، ما يؤكد أن الثغرة تحولت إلى أداة هجوم نشطة. الشركة شددت على أن خطورة CVE-2025-11953 لا تكمن فقط في وجودها، بل في أنها تعيد تذكير المدافعين بأن بنية التطوير تصبح بنية إنتاجية بمجرد أن تكون متاحة للوصول الخارجي، بغض النظر عن نية استخدامها.
هذا الواقع يفرض على المؤسسات مراجعة بنيتها التحتية الخاصة بالتطوير، والتعامل معها كجزء لا يتجزأ من منظومة الإنتاج، مع تطبيق ضوابط أمنية صارمة لمنع استغلالها.
