top of page

React Native Metro 취약점 악용, Metro4Shell(CVE-2025-11953)로 개발 환경 RCE 공격

최종 수정일: 51분 전

React Native 개발 환경에서 사용되는 Metro Development Server에서 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점이 발견되었으며, 최근 해당 취약점을 악용해 페이로드를 배포하는 공격 흐름이 관측되고 있다.

해당 취약점은 CVE-2025-11953, 일명 Metro4Shell로 명명되었으며, 개발 편의를 위해 제공되는 `/open-url` 엔드포인트의 OS Command Injection 문제에서 기인한다.


이번 이슈는 운영 서버가 아닌 개발 환경을 공격 표적으로 삼았다는 점에서 주목할 필요가 있다. 

Metro Dev Server는 설정에 따라 외부 인터페이스에 바인딩될 수 있으며, 구성 미흡 시 인터넷에 노출될 수 있다.

공격자는 이러한 환경을 노려 인증 없이 OS 명령을 실행할 수 있으며, 실제 악성 페이로드 배포까지 이어진 사례가 확인되었다. 


## 취약점 개요 (Metro4Shell) ##


  • CVE: CVE-2025-11953 (Metro4Shell)

  • 취약 유형:  OS Command Injection → Remote Code Execution

  • 영향: @react-native-community/cli-server-api 4.8.0 ≤ 버전 < 20.0.0 

  • 조치: 20.0.0 이상 업데이트 권고 


문제의 핵심은 `/open-url` 엔드포인트로 전달되는 입력값에 대해 적절한 검증 및 이스케이프 처리가 수행되지 않는다는 점이다.  이로 인해 전달된 값이 그대로 OS 명령 실행 컨텍스트로 전달되며, Windows 환경에서는 `cmd.exe` 및 `powershell.exe`를 통한 명령 실행으로 직결된다. 


## 공격 흐름 ##



## IoC (Indicators of Compromise) ##


Network


Exploitation Source IP

- 65[.]109[.]182[.]231

- 223[.]6[.]249[.]141

- 134[.]209[.]69[.]155

    

C2

- 8[.]218[.]43[.]248[:]60124

- 47[.]86[.]33[.]195[:]60130


File


Drop Filename

- `jzDjiQKu.exe`


- Windows

  - SHA1: 61450287ebd524cde1a500d91c334cfb49f85db0

  - SHA256: d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6

    

- Windows

   - SHA1: 112304bb4f33176d06e6291e95b58cbcf6fca2c5

   - SHA256: 7ecbb0cc88dfa5f187c209a28bd25e8e2d5113bb898a91ae273bca5983130886

    

- Linux 

  - SHA1: 18d232d04d35d31f20d4549fa5f52f3afdb5d2d6

  - SHA256: d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182


- Linux

   - SHA1: cdc8472732cd7419fad4ba36d0d7657158bd0634

   - SHA256: 6686d4baa9d483da27ba84dab85e96e42b790b608571de7bcb07a1fd7c975fe3

    

## PAGO MDR 대응 방향 및 시사점 ##


이번 Metro4Shell 사례는 “개발 환경은 안전하다”는 기존 가정이 더 이상 유효하지 않음을 명확히 보여준다.  

공격자는 운영 서버가 아닌 개발 PC, CI 서버, 테스트 환경을 초기 침투 지점으로 삼았으며,  

Metro Dev Server와 같은 개발 편의용 컴포넌트가 상대적으로 방어가 느슨한 공격 표면으로 활용되었다.


특히 본 사례는

- 실제 악성 페이로드가 존재하고

- 다수의 외부 IP에서 반복적으로 관측되었으며

- Windows, Linux를 모두 고려한 멀티 플랫폼 공격 구조를 갖추고 있다는 점에서 단순 취약점 공개 수준을 넘어 실질적인 공격 캠페인 단계로 분류할 수 있다.

    

PAGO MDR은 이러한 위협 특성을 반영해,  

- Metro4Shell과 같이 개발 환경을 노린 취약점 악용 시나리오를 글로벌 공격 동향으로 실시간 모니터링한다.  

- 분석을 통해 확인된 악성 파일 IOC는 Global Blocklist 등록을 통해 전 고객 환경에 즉시 적용된다.


또한 관련 네트워크, 행위 기반 지표는 MDR 모니터링 대시보드에서 통합 관리되며,  

유사 공격 정황 발생 시 탐지 → 격리 → 대응이 즉시 이어질 수 있도록 운영된다.


이번 사례는 운영 서버뿐 아니라 개발, 테스트 환경 역시 동일한 가시성과 통제가 필요함을 보여주는 대표적 사례이며,  

PAGO MDR은 이러한 공격 표면까지 포함해 위협 이벤트를 선제적으로 통제하는 운영 체계를 제공한다.


작성자: 이시우

Threat Analyst | DeepACT MDR Center

bottom of page