top of page

React Native Metro 취약점 악용, Metro4Shell(CVE-2025-11953)로 개발 환경 RCE 공격

최종 수정일: 3월 4일

React Native 개발 환경에서 사용되는 Metro Development Server에서 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점이 발견되었습니다. 최근 이 취약점을 악용해 페이로드를 배포하는 공격 흐름이 관측되고 있습니다. 해당 취약점은 CVE-2025-11953, 일명 Metro4Shell로 명명되었습니다. 이는 개발 편의를 위해 제공되는 `/open-url` 엔드포인트의 OS Command Injection 문제에서 기인합니다.


이번 이슈는 운영 서버가 아닌 개발 환경을 공격 표적으로 삼았다는 점에서 주목할 필요가 있습니다. Metro Dev Server는 설정에 따라 외부 인터페이스에 바인딩될 수 있으며, 구성 미흡 시 인터넷에 노출될 수 있습니다. 공격자는 이러한 환경을 노려 인증 없이 OS 명령을 실행할 수 있으며, 실제 악성 페이로드 배포까지 이어진 사례가 확인되었습니다.


취약점 개요 (Metro4Shell)


  • CVE: CVE-2025-11953 (Metro4Shell)

  • 취약 유형: OS Command Injection → Remote Code Execution

  • 영향: @react-native-community/cli-server-api 4.8.0 ≤ 버전 < 20.0.0

  • 조치: 20.0.0 이상 업데이트 권고


문제의 핵심은 `/open-url` 엔드포인트로 전달되는 입력값에 대해 적절한 검증 및 이스케이프 처리가 수행되지 않는다는 점입니다. 이로 인해 전달된 값이 그대로 OS 명령 실행 컨텍스트로 전달되며, Windows 환경에서는 `cmd.exe` 및 `powershell.exe`를 통한 명령 실행으로 직결됩니다.


공격 흐름



IoC (Indicators of Compromise)


Network


Exploitation Source IP

  • 65.109.182.231

  • 223.6.249.141

  • 134.209.69.155


Command and Control

  • 8.218.43.248:60124

  • 47.86.33.195:60130


File Artifacts


Drop Filename

  • jzDjiQKu.exe


Windows Samples

  • SHA1: 61450287ebd524cde1a500d91c334cfb49f85db0

  • SHA256: d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6

  • SHA1: 112304bb4f33176d06e6291e95b58cbcf6fca2c5

  • SHA256: 7ecbb0cc88dfa5f187c209a28bd25e8e2d5113bb898a91ae273bca5983130886


Linux Samples

  • SHA1: 18d232d04d35d31f20d4549fa5f52f3afdb5d2d6

  • SHA256: d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182

  • SHA1: cdc8472732cd7419fad4ba36d0d7657158bd0634

  • SHA256: 6686d4baa9d483da27ba84dab85e96e42b790b608571de7bcb07a1fd7c975fe3


PAGO MDR 대응 방향 및 시사점


이번 Metro4Shell 사례는 “개발 환경은 안전하다”는 기존 가정이 더 이상 유효하지 않음을 명확히 보여줍니다. 공격자는 운영 서버가 아닌 개발 PC, CI 서버, 테스트 환경을 초기 침투 지점으로 삼았습니다. Metro Dev Server와 같은 개발 편의용 컴포넌트가 상대적으로 방어가 느슨한 공격 표면으로 활용되었습니다.


특히 본 사례는 다음과 같은 점에서 주목할 만합니다:

  • 실제 악성 페이로드가 존재하고

  • 다수의 외부 IP에서 반복적으로 관측되었으며

  • Windows, Linux를 모두 고려한 멀티 플랫폼 공격 구조를 갖추고 있습니다.


이러한 점에서 단순 취약점 공개 수준을 넘어 실질적인 공격 캠페인 단계로 분류할 수 있습니다.


PAGO MDR은 이러한 위협 특성을 반영하여, Metro4Shell과 같은 개발 환경을 노린 취약점 악용 시나리오를 글로벌 공격 동향으로 실시간 모니터링합니다. 분석을 통해 확인된 악성 파일 IOC는 Global Blocklist 등록을 통해 전 고객 환경에 즉시 적용됩니다.


또한 관련 네트워크, 행위 기반 지표는 MDR 모니터링 대시보드에서 통합 관리되며, 유사 공격 정황 발생 시 탐지 → 격리 → 대응이 즉시 이어질 수 있도록 운영됩니다.


이번 사례는 운영 서버뿐 아니라 개발, 테스트 환경 역시 동일한 가시성과 통제가 필요함을 보여주는 대표적 사례입니다. PAGO MDR은 이러한 공격 표면까지 포함해 위협 이벤트를 선제적으로 통제하는 운영 체계를 제공합니다.


결론


Metro4Shell 취약점은 개발 환경의 보안에 대한 새로운 인식을 요구합니다. 기업들은 개발 환경을 안전하게 유지하기 위해 적극적인 보안 조치를 취해야 합니다. 이를 통해 공격자가 쉽게 침투할 수 있는 경로를 차단할 수 있습니다.


이러한 취약점에 대한 경각심을 높이고, 보안 업데이트를 정기적으로 수행하는 것이 중요합니다. 우리는 항상 최신 보안 패치를 적용하고, 취약점을 모니터링해야 합니다.


이제는 단순히 운영 서버만을 보호하는 것이 아니라, 모든 개발 환경을 안전하게 관리해야 합니다. 이를 통해 우리는 사이버 공격에 대한 진정한 저항력을 구축할 수 있습니다.


작성자: 이시우 Threat Analyst | DeepACT MDR Center

bottom of page