كشفت تقارير أمنية حديثة عن رصد عمليات استغلال فعلي لثغرة برمجية حرجة في منظومة تطوير التطبيقات الشهيرة React Native، تستهدف تحديداً خادم التطوير المعروف باسم Metro. وتسمح هذه الثغرة للمهاجمين بتنفيذ أوامر برمجية على نظام التشغيل عن بُعد، دون الحاجة إلى أي عمليات مصادقة، وذلك في الحالات التي يكون فيها الخادم متاحاً للاتصال عبر شبكة الإنترنت.
حازت الثغرة المسجلة تحت الرمز CVE-2025-11953 على درجة خطورة قصوى بلغت 9.8 من 10، وهي تؤثر بشكل مباشر في حزمة (@react-native-community/cli) المستخدمة على نطاق واسع في بيئة Node.js لتشغيل أدوات سطر الأوامر وبناء تطبيقات الهاتف المحمول.
تحول الخطر من نظري إلى واقعي
وعلى الرغم من أن النقاشات التقنية السابقة كانت تصنف هذه الثغرة ضمن المخاطر النظرية المرتبطة ببيئات التطوير المغلقة، فإن شركة VulnCheck للأمن السيبراني أكدت رصد نشاط استغلال فعلي بدأ في 21 ديسمبر 2025. وتكررت محاولات الهجمات في 4 و21 يناير 2026، ما يشير إلى وجود نشاط تشغيلي مستمر من قبل مجموعات قرصنة تسعى لاستغلال هذا الخلل.
مكمن الخلل التقني
وبحسب التحليلات التي أجرتها شركتا JFrog وVulnCheck، فإن الخلل يتركز في نقطتين تقنيتين:
- نقطة النهاية (/open-url): يتعامل خادم Metro مع طلبات POST عبر هذه النقطة، ما يؤدي إلى استدعاء وظيفة فتح الروابط على الجهاز. ويمكن تحويل هذا الإجراء إلى عملية تنفيذ أوامر نظام، ويظهر التأثير بشكل أكثر وضوحاً في بيئات تشغيل Windows.
- إعدادات التشغيل الافتراضية: قد تسمح الإعدادات الأولية لخادم Metro بالاستماع إلى واجهات الشبكة الخارجية، ما يؤدي إلى توسيع نطاق الهجوم من اختراق محلي إلى اختراق عن بُعد في حال كان المنفذ متاحاً للعموم على الإنترنت.
وتشير البيانات التقنية إلى أن الحزمة المتأثرة هي (@react-native-community/cli-server-api) في الإصدارات ما بين (4.8.0) و(20.0.0-alpha.2)، بينما يبدأ الإصلاح الجذري من الإصدار (20.0.0).
تكتيكات الهجوم المرصودة
أوضحت VulnCheck أن المهاجمين اعتمدوا سلسلة تحميل متعددة المراحل في بيئة Windows، بدأت بإرسال أوامر عبر (cmd.exe)، تلاها تشغيل برمجيات مشفرة بصيغة Base64. وشملت الهجمات خطوات لتعطيل أنظمة الدفاع في Microsoft Defender عبر إضافة مسارات استثناء، قبل إنشاء اتصال مباشر بخادم المهاجم وتنزيل حمولة برمجية نهائية. وقد لوحظ أن هذه الحمولات، التي استهدفت أنظمة Windows وLinux، مكتوبة بلغة Rust لضمان الكفاءة ومقاومة عمليات التحليل الأمني.
الفئات الأكثر عرضة للتهديد
يرتفع مؤشر الخطر لدى الفرق التقنية التي تشغل خادم Metro على أجهزة تطوير شخصية، أو خوادم التكامل المستمر (CI/CD)، أو بيئات الاختبار المفتوحة للإنترنت. كما يشمل التهديد المشاريع التي تعتمد أوامر التشغيل التقليدية مثل (npm start) أو (npx react-native start) مع نسخ قديمة وغير محصنة من الحزم البرمجية المذكورة.
سبل الوقاية والتحصين
وضعت الجهات الأمنية خارطة طريق عاجلة للمطورين والشركات لتفادي الوقوع ضحية لهذه الهجمات، تشمل:
- التحديث الفوري: ترقية حزمة (@react-native-community/cli-server-api) إلى الإصدار (20.0.0) أو ما يليه في كافة المشاريع القائمة.
- تقييد واجهات الاستماع: تشغيل خادم Metro مع ربطه حصرياً بالاستضافة المحلية (localhost) عبر استخدام الوسيطة (host 127.0.0.1) ضمن أوامر التشغيل.
- المراجعة الدقيقة: فحص قوائم الحزم سواء على مستوى المشروع أو التثبيت العام للجهاز للتأكد من خلوها من النسخ المصابة.
- تأمين الشبكة: إغلاق المنفذ الخاص بـ Metro عبر الجدران النارية، ومنع أي إعدادات سحابية أو افتراضية تجعل الخدمة مرئية للشبكة العامة.
