Netcrook Logo
👤 LOGICFALCON
🗓️ 04 Feb 2026  

Caos “Metro4Shell”: Cómo una falla en una herramienta de desarrollo convirtió cada cafetería en el patio de juegos de los hackers

Subtítulo: Una vulnerabilidad crítica en React Native está impulsando ataques globales de malware contra desarrolladores desprevenidos - exponiendo los enormes vacíos en los entornos de desarrollo modernos.

Imagina esto: estás programando en tu cafetería favorita, con el servidor Metro zumbando silenciosamente en segundo plano. Pero, sin que lo sepas, un depredador silencioso acecha en la misma red Wi-Fi, listo para secuestrar tu máquina con una simple solicitud HTTP. Esto no es hipotético - es la nueva realidad para miles de desarrolladores en todo el mundo, cortesía de una vulnerabilidad ahora tristemente célebre bajo el nombre de “Metro4Shell”.

El servidor de desarrollo Metro - pieza clave en el flujo de trabajo de React Native - se ha convertido en el epicentro de una sofisticada ola de ciberdelincuencia. El culpable: un bug de ejecución remota de código en el paquete npm @react-native-community/cli (versiones 4.8.0 a 20.0.0-alpha.2). Con un peligrosamente engañoso mensaje de “localhost:8081”, Metro en realidad se enlaza a todas las interfaces de red por defecto, dejando su endpoint vulnerable abierto a cualquiera en la misma red - ya sea una oficina concurrida, una cafetería o una VLAN corporativa mal segmentada.

Investigadores de seguridad de JFrog y VulnCheck rastrearon la falla hasta el endpoint /open-url, donde la entrada del usuario se entrega imprudentemente a la función open() sin validación. El resultado: los atacantes pueden ejecutar comandos arbitrarios en la máquina del desarrollador simplemente enviando una solicitud HTTP especialmente diseñada. En Windows, esto significa control total de comandos y parámetros; en macOS y Linux, los atacantes aún pueden lanzar ejecutables - suficiente para causar estragos.

La explotación no es teórica. Los honeypots de VulnCheck detectaron los primeros ataques “Metro4Shell” en diciembre de 2025, con atacantes entregando cargas útiles idénticas en campañas sostenidas hasta enero de 2026. La primera oleada involucra un loader basado en PowerShell, oculto en base64, que desactiva Microsoft Defender en directorios clave y se conecta a servidores controlados por los atacantes para recibir la siguiente carga útil - un binario Rust empaquetado con UPX y repleto de trucos anti-análisis.

Lo más inquietante es la infraestructura: las cargas útiles se alojan en múltiples servidores, con versiones tanto para Windows como para Linux, lo que resalta la amenaza multiplataforma. Los métodos de los atacantes son precisos: evaden la detección, establecen puntos de apoyo y luego esperan nuevas órdenes. ¿El premio? Los entornos de desarrollo son minas de oro - repletos de código fuente, secretos y acceso a sistemas de producción, pero rara vez tan protegidos como la infraestructura de producción en sí.

A pesar del riesgo crítico, el Exploit Prediction Scoring System (EPSS) asigna una probabilidad mínima a la explotación, lo que subraya una peligrosa brecha entre los modelos de riesgo y la realidad. A finales de enero, más de 3,500 servidores Metro seguían expuestos, con sus operadores posiblemente ajenos al peligro.

Para organizaciones y desarrolladores independientes por igual, el mensaje es claro: auditen sus entornos, actualicen inmediatamente a la versión 20.0.0 o superior, restrinjan la exposición de red de Metro y nunca confíen en las configuraciones predeterminadas - especialmente cuando hay tanto en juego.

Cuando se disipe el polvo, “Metro4Shell” servirá como un recordatorio contundente: en la carrera por innovar, la seguridad debe ir al mismo ritmo. De lo contrario, las herramientas pensadas para acelerar el desarrollo pueden convertirse en el arma perfecta para los ciberdelincuentes de todo el mundo.

WIKICROOK

  • Ejecución Remota de Código: La ejecución remota de código permite a los atacantes ejecutar comandos en tu computadora a distancia, lo que a menudo lleva a la toma total del sistema y robo de datos.
  • Servidor Metro: El Servidor Metro es el servidor de desarrollo para React Native, que agrupa y sirve código JavaScript para habilitar la recarga rápida y actualizaciones en tiempo real durante el desarrollo de apps.
  • Loader de PowerShell: Un Loader de PowerShell es un script que utiliza Windows PowerShell para descargar y ejecutar malware en secreto en el sistema de la víctima, evadiendo la detección.
  • Empaquetado UPX: El empaquetado UPX comprime archivos ejecutables, y es usado frecuentemente por autores de malware para evadir la detección y dificultar el análisis inverso por parte de los analistas.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, indicándole que realice acciones específicas, a veces con fines maliciosos.
Metro4Shell React Native Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news