بدافزار EtherRAT

اعتقاد بر این است که یک کمپین تهدید اخیراً کشف شده مرتبط با اپراتورهای کره شمالی، از آسیب‌پذیری بحرانی React2Shell (RSC) برای استقرار یک تروجان دسترسی از راه دور که قبلاً دیده نشده بود، به نام EtherRAT، سوءاستفاده می‌کند. این بدافزار به دلیل گنجاندن قراردادهای هوشمند اتریوم در گردش کار فرماندهی و کنترل (C2)، نصب چندین لایه پایداری در لینوکس و ادغام زمان اجرای Node.js خود در طول استقرار، متمایز است.

پیوندهایی به عملیات جاری «مصاحبه مسری»

تیم‌های امنیتی شباهت‌های زیادی بین فعالیت EtherRAT و کمپین طولانی‌مدتی که با نام Contagious Interview شناخته می‌شود، شناسایی کرده‌اند. این کمپین مجموعه‌ای از حملات است که از اوایل سال ۲۰۲۵ فعال بوده و از تکنیک EtherHiding برای توزیع بدافزار استفاده می‌کند.

این عملیات‌ها معمولاً توسعه‌دهندگان بلاکچین و وب۳ را با پنهان کردن نیات مخرب در پشت مصاحبه‌های شغلی ساختگی، آزمون‌های کدنویسی و ارزیابی‌های ویدیویی هدف قرار می‌دهند. قربانیان معمولاً از طریق پلتفرم‌هایی مانند لینکدین، آپ‌ورک و فایور با آنها تماس گرفته می‌شود، جایی که مهاجمان خود را به عنوان استخدام‌کنندگان قانونی معرفی می‌کنند که فرصت‌های شغلی با ارزش بالا را ارائه می‌دهند.

محققان خاطرنشان می‌کنند که این خوشه تهدید به یکی از پربازده‌ترین نیروهای مخرب در اکوسیستم npm تبدیل شده است و مهارت خود را در نفوذ به زنجیره‌های تأمین مبتنی بر جاوا اسکریپت و گردش‌های کاری متمرکز بر رمزنگاری نشان می‌دهد.

نقض اولیه: بهره‌برداری از React2Shell

توالی حمله با سوءاستفاده از آسیب‌پذیری بحرانی CVE‑2025‑55182 با درجه شدت کامل ۱۰ آغاز می‌شود. با استفاده از این نقص، مهاجمان یک دستور کدگذاری شده با Base64 را اجرا می‌کنند که یک اسکریپت shell را دانلود و اجرا می‌کند که مسئول راه‌اندازی ایمپلنت اولیه جاوا اسکریپت است.

این اسکریپت از طریق curl دریافت می‌شود و wget و python3 به عنوان روش‌های پشتیبان عمل می‌کنند. قبل از اجرای payload اصلی، سیستم را با دریافت Node.js نسخه ۲۰.۱۰.۰ مستقیماً از nodejs.org آماده می‌کند، سپس هم یک حباب داده رمزگذاری شده و هم یک دراپر جاوا اسکریپت مبهم را روی دیسک می‌نویسد. برای محدود کردن ردپاهای قانونی، اسکریپت پس از اتمام راه‌اندازی، خود را پاکسازی می‌کند و کنترل را به دراپر می‌دهد.

ارائه EtherRAT: رمزگذاری، اجرا و کنترل و فرمان قرارداد هوشمند

عملکرد اصلی این دراپر ساده است: رمزگشایی بار داده EtherRAT با استفاده از یک کلید هاردکد شده و اجرای آن با فایل باینری Node.js که به تازگی دانلود شده است.

ویژگی برجسته‌ی EtherRAT وابستگی آن به EtherHiding است، روشی که آدرس سرور C2 را هر پنج دقیقه از یک قرارداد هوشمند اتریوم بازیابی می‌کند. این امر به اپراتورها اجازه می‌دهد تا زیرساخت‌ها را در لحظه به‌روزرسانی کنند، حتی اگر مدافعان، دامنه‌های موجود را مختل کنند.

یک تغییر منحصر به فرد در این پیاده‌سازی، سیستم رأی‌گیری مبتنی بر اجماع آن است. EtherRAT به طور همزمان از نه نقطه پایانی عمومی RPC اتریوم پرس‌وجو می‌کند، نتایج را جمع‌آوری می‌کند و به URL C2 که توسط اکثریت برگردانده می‌شود، اعتماد می‌کند. این رویکرد چندین استراتژی دفاعی را خنثی می‌کند و تضمین می‌کند که یک نقطه پایانی RPC آسیب‌دیده یا دستکاری‌شده نمی‌تواند بات‌نت را گمراه یا سینک‌هول کند.

محققان پیش از این تکنیک مشابهی را در بسته‌های مخرب npm به نام‌های colortoolsv2 و mimelib2 مشاهده کرده بودند که برای توزیع اجزای دانلودکننده به توسعه‌دهندگان استفاده می‌شدند.

نمونه‌برداری از دستورات با فرکانس بالا و پایداری چندلایه

پس از برقراری ارتباط با سرور C2 خود، EtherRAT وارد یک چرخه سریع نظرسنجی می‌شود که هر ۵۰۰ میلی‌ثانیه اجرا می‌شود. هر پاسخی که بیش از ده کاراکتر باشد، به عنوان جاوا اسکریپت تفسیر شده و فوراً در سیستم آسیب‌دیده اجرا می‌شود.

دسترسی بلندمدت از طریق پنج تکنیک پایداری حفظ می‌شود و قابلیت اطمینان را در فرآیندهای مختلف راه‌اندازی لینوکس افزایش می‌دهد:

روش‌های ماندگاری:

• سرویس کاربر Systemd
• ورود خودکار XDG
• کارهای کرون
• اصلاح .bashrc
• تزریق پروفیل

با گسترش در مسیرهای اجرایی متعدد، این بدافزار حتی پس از راه‌اندازی مجدد نیز به اجرا ادامه می‌دهد و دسترسی بدون وقفه را برای اپراتورها تضمین می‌کند.

قابلیت‌های خود-به‌روزرسانی و استراتژی مبهم‌سازی

EtherRAT شامل یک فرآیند به‌روزرسانی پیچیده است: کد منبع خود را به یک نقطه پایانی API ارسال می‌کند، یک نسخه اصلاح‌شده را از سرور C2 دریافت می‌کند و خود را با این نوع جدید مجدداً راه‌اندازی می‌کند. اگرچه به‌روزرسانی از نظر عملکردی یکسان است، اما بار داده بازگشتی به طور متفاوتی مبهم‌سازی شده است و به این بدافزار کمک می‌کند تا از تکنیک‌های تشخیص استاتیک فرار کند.

همپوشانی کد با خانواده‌های تهدید جاوا اسکریپت قبلی

تجزیه و تحلیل بیشتر نشان می‌دهد که بخش‌هایی از لودر رمزگذاری‌شده‌ی EtherRAT، الگوهای مشترکی با BeaverTail، یک دانلودکننده و سارق اطلاعات مبتنی بر جاوا اسکریپت شناخته‌شده که در عملیات Contagious Interview استفاده می‌شود، دارند. این موضوع، این ارزیابی را تقویت می‌کند که EtherRAT یا جانشین مستقیم یا افزونه‌ای از ابزارهای مورد استفاده در آن کمپین است.

پیامدها برای مدافعان: تغییر به سمت مخفی‌کاری و پایداری

EtherRAT تکامل قابل توجهی را در سوءاستفاده از React2Shell نشان می‌دهد. این ایمپلنت به جای تمرکز صرف بر فعالیت‌های فرصت‌طلبانه مانند کریپتوماینینگ یا سرقت اعتبارنامه، دسترسی مخفیانه و بلندمدت را در اولویت قرار می‌دهد. ترکیبی از عملیات C2 مبتنی بر قرارداد هوشمند، تأیید نقطه پایانی مبتنی بر اجماع، لایه‌های پایداری چندگانه و خودابهام‌سازی مداوم، چالشی جدی برای مدافعان ایجاد می‌کند.

نکات کلیدی برای تیم‌های امنیتی

تیم‌های امنیتی باید توجه داشته باشند که EtherRAT نشان‌دهنده‌ی تشدید قابل توجه سوءاستفاده از RSC است و آن را به یک تهدید پایدار و بسیار سازگار تبدیل می‌کند که قادر به حفظ نفوذهای طولانی‌مدت است. زیرساخت فرماندهی و کنترل آن به‌طور ویژه‌ای مقاوم است و از قراردادهای هوشمند اتریوم و یک مکانیسم اجماع چند نقطه‌ای برای مقاومت در برابر تلاش‌های sinkholing، حذف و دستکاری نقاط پایانی منفرد استفاده می‌کند. علاوه بر این، ارتباط نزدیک این بدافزار با کمپین Contagious Interview، تمرکز مداوم بر اهداف توسعه‌دهندگان با ارزش بالا را برجسته می‌کند و بر لزوم هوشیاری بیشتر در جوامع توسعه‌ی بلاکچین و Web3 تأکید دارد.