CVE-2025-11953, nota come Metro4Shell, e la campagna ClawHavoc mostrano come le minacce cyber stiano spostando il proprio baricentro verso ecosistemi di sviluppo e piattaforme AI, colpendo ambienti considerati “di test” o comunitari ma che, nella pratica, gestiscono dati sensibili, credenziali e flussi produttivi reali. Le osservazioni di VulnCheck e le analisi indipendenti su OpenClaw evidenziano un pattern ormai consolidato: endpoint esposti di default e marketplace permissivi diventano superfici di attacco ideali, anche quando i punteggi di rischio ufficiali sembrano minimizzare l’impatto.
Metro4Shell: CVE-2025-11953 sfruttata in the wild
La vulnerabilità CVE-2025-11953, ribattezzata Metro4Shell, colpisce Metro, il bundler JavaScript e server di sviluppo utilizzato in React Native. In configurazione predefinita, Metro si lega a interfacce di rete esterne ed espone l’endpoint /open-url, pensato per facilitare l’apertura di risorse durante lo sviluppo. Su Windows, questo endpoint introduce un problema critico: consente a attaccanti remoti non autenticati di eseguire comandi di sistema arbitrari tramite una semplice richiesta HTTP POST.
VulnCheck osserva il primo sfruttamento attivo il 21 dicembre 2025 attraverso la propria rete Canary. La vulnerabilità viene inserita automaticamente nel catalogo KEV di VulnCheck lo stesso giorno, segnale di una minaccia già operativa. Ulteriori exploit vengono rilevati il 4 gennaio e il 21 gennaio 2026, con payload coerenti e ripetibili, indicativi di uso operativo e non di semplici test. Nonostante ciò, la percezione pubblica resta limitata, anche perché EPSS assegna una probabilità di sfruttamento estremamente bassa, pari a 0.00405 al 28 gennaio 2026, in netto contrasto con le evidenze sul campo.
Dettagli tecnici dello sfruttamento Metro4Shell
L’exploit osservato sfrutta l’endpoint /open-url con una richiesta POST contenente un comando PowerShell codificato in base64. Il comando decodificato imposta directory temporanee, disabilita preferenze di esclusione che possono interferire con l’esecuzione, crea un client TCP e si connette a un indirizzo IP remoto, ad esempio 8.218.43.248 sulla porta 60124. Da qui, il payload invia una richiesta GET per /windows, scarica un file eseguibile in una directory temporanea, lo salva con un nome casuale come jzDjiqKU.exe e lo avvia con argomenti specifici.
Questo flusso consente l’esecuzione silenziosa di malware su server di sviluppo esposti, trasformando ambienti pensati per il test in punti di ingresso remoti. Le regole Suricata sviluppate dal team Initial Access Intelligence di VulnCheck, già nel novembre 2025, intercettano pattern ricorrenti come user-agent curl/7.85.0, content-type application/json e specifiche lunghezze di payload, permettendo una rilevazione precoce nella rete Canary. La coerenza dei comandi e degli IP utilizzati conferma che Metro4Shell è sfruttata attivamente in the wild, indipendentemente dalle stime teoriche di rischio.
ClawHavoc: la supply chain AI sotto attacco
In parallelo, l’ecosistema dei bot AI OpenClaw si rivela vulnerabile a una massiccia operazione di supply chain compromise denominata ClawHavoc. L’indagine nasce dalle preoccupazioni sollevate da Alex, un bot OpenClaw, sulla sicurezza delle skills distribuite tramite ClawHub, un marketplace comunitario con oltre 2800 pacchetti. Un audit completo condotto da Oren Yomtov e dal team Koi analizza 2857 skills, identificandone 341 come malevole.
Di queste, 335 appartengono direttamente alla campagna ClawHavoc, mentre le restanti sei impiegano tecniche differenti. Le skills maligne sono camuffate da strumenti legittimi, complete di documentazione professionale e descrizioni convincenti. Molte richiedono l’installazione di presunti prerequisiti, come openclaw-agent, o l’esecuzione di script esterni, sfruttando la fiducia degli utenti e la natura collaborativa dell’ecosistema.
Distribuzione malware e AMOS su macOS e Windows
Su Windows, ClawHavoc induce gli utenti a scaricare archivi ZIP protetti da password da repository pubblici, con password note come openclaw, tecnica che consente di evadere i controlli antivirus automatici. Su macOS, le skills rimandano a script offuscati ospitati su servizi come glot.io, che decodificano payload base64 e scaricano componenti da server controllati dagli attaccanti, ad esempio http://91.92.242.30.
Il malware principale distribuito è Atomic macOS Stealer (AMOS), un infostealer MaaS venduto su canali Telegram per 500–1000 unità al mese. AMOS è un binario Mach-O universale da circa 521 KB, compatibile con x86_64 e arm64, firmato ad-hoc con identificatori casuali e privo di un certificato Apple Developer valido. Presenta pochissime stringhe leggibili, con il resto del codice cifrato e decriptato a runtime, rendendo l’analisi statica complessa.
AMOS è in grado di rubare password dal Keychain, credenziali di sistema, chiavi SSH, dati dei principali browser e oltre 60 wallet cryptocurrency, inclusi Exodus, Binance e Ledger Live. Esfiltra anche sessioni Telegram, file da Desktop e Documents e cronologia delle shell bash e zsh, configurandosi come una minaccia ad altissimo impatto per utenti individuali e sviluppatori.
Categorie colpite e tecniche di ingegneria sociale
La campagna ClawHavoc mostra una chiara strategia di massimizzazione dell’impatto. Le skills malevole si concentrano su categorie ad alto valore percepito, come tool crypto, utility YouTube, bot Polymarket, tracker finanziari, integrazioni Google Workspace e auto-updater. Sono stati identificati 29 casi di typosquatting diretto su ClawHub, con nomi quasi identici a quelli legittimi, progettati per intercettare errori di battitura nei comandi CLI.
L’ingegneria sociale è centrale: documentazioni curate, promesse di guadagno o produttività e richieste di prerequisiti esterni spingono gli utenti a eseguire manualmente codice malevolo, aggirando i modelli di sicurezza tradizionali. In alcuni casi, le skills includono backdoor dirette o funzionalità di esfiltrazione credenziali, dimostrando un approccio flessibile e adattivo da parte degli attaccanti.
Implicazioni per sviluppatori e piattaforme AI
Metro4Shell e ClawHavoc evidenziano una convergenza critica: sviluppo software e AI condividono ormai superfici di attacco simili a quelle degli ecosistemi enterprise, ma con controlli spesso più deboli. Server di sviluppo esposti e marketplace comunitari permissivi creano catene di fiducia fragili, sfruttabili per ottenere accesso a sistemi, dati finanziari e credenziali personali.
Nel caso di Metro4Shell, ambienti di test React Native diventano vettori di compromissione remota. Nel caso di ClawHavoc, bot AI con accesso a email, calendari e wallet amplificano l’impatto di una singola skill malevola. Le basse valutazioni di rischio teorico, come quelle EPSS, rischiano di sottostimare minacce già operative, ritardando contromisure adeguate.
Mitigazioni e contromisure operative
Per Metro4Shell, la mitigazione passa dalla limitazione dell’esposizione di Metro alle sole interfacce locali, dalla disabilitazione o protezione dell’endpoint /open-url, e dal monitoraggio di richieste POST sospette con payload base64 PowerShell. Le regole Suricata e l’analisi dei log di rete rappresentano strumenti chiave per individuare exploit in tempo reale.
Per OpenClaw, emerge l’importanza di verifiche automatiche pre-installazione. La skill Clawdex, sviluppata da Koi, offre scansioni preventive e retroattive contro database di skills malevole, rappresentando un primo passo verso una sicurezza nativa degli ecosistemi AI. A livello generale, diventa essenziale diffidare di prerequisiti esterni, verificare script e URL prima dell’esecuzione e monitorare comportamenti anomali di bot e agenti AI.
Le minacce descritte dimostrano che gli ecosistemi di sviluppo e AI non sono più periferici, ma centrali nel panorama cyber. Metro4Shell e ClawHavoc non colpiscono infrastrutture legacy, bensì strumenti moderni, diffusi e considerati affidabili, sfruttando configurazioni di default e fiducia comunitaria. In questo contesto, vigilanza continua, automazione della sicurezza e revisione delle assunzioni di fiducia diventano requisiti imprescindibili per sviluppatori, aziende e utenti AI.
Domande frequenti su Metro4Shell e ClawHavoc
Metro4Shell colpisce solo ambienti di sviluppo?
Sì, ma gli ambienti di sviluppo spesso gestiscono credenziali e dati reali. Se esposti in rete, possono diventare punti di ingresso critici per attacchi remoti.
Perché EPSS assegna un punteggio basso a CVE-2025-11953?
EPSS valuta probabilità statistiche globali, ma non sempre riflette lo sfruttamento mirato osservato in reti di monitoraggio come quelle di VulnCheck.
ClawHavoc è limitata a macOS?
No. La campagna colpisce sia Windows sia macOS, con payload differenti e una forte focalizzazione su AMOS per sistemi Apple.
Come possono gli utenti OpenClaw ridurre il rischio?
Installando solo skills verificate, evitando prerequisiti esterni non fidati, utilizzando strumenti di scanning come Clawdex e monitorando accessi e comportamenti anomali dei bot.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU...
