Zlonamjerni softver EtherRAT-a

Vjeruje se da nedavno otkrivena kampanja prijetnji povezana sa sjevernokorejskim operaterima iskorištava kritičnu ranjivost React2Shell (RSC) za implementaciju prethodno neviđenog trojanca za udaljeni pristup poznatog kao EtherRAT. Ovaj zlonamjerni softver ističe se uključivanjem pametnih ugovora Ethereuma u svoj tijek rada Command-and-Control (C2), instaliranjem više slojeva persistence na Linuxu i povezivanjem vlastitog Node.js runtimea tijekom implementacije.

Poveznice na tekuće operacije 'Zarazni intervju'

Sigurnosni timovi su uočili velike sličnosti između aktivnosti EtherRAT-a i dugotrajne kampanje pod nazivom Contagious Interview, niza napada koji su aktivni od početka 2025. i koriste tehniku EtherHiding za isporuku zlonamjernog softvera.

Ove operacije obično ciljaju blockchain i Web3 developere maskirajući zlonamjerne namjere iza izmišljenih razgovora za posao, testova kodiranja i video procjena. Žrtve se obično kontaktiraju putem platformi kao što su LinkedIn, Upwork i Fiverr, gdje napadači oponašaju legitimne regrutere koji nude visokovrijedne mogućnosti zapošljavanja.

Istraživači primjećuju da je ovaj klaster prijetnji postao jedna od najproduktivnijih zlonamjernih sila unutar npm ekosustava, demonstrirajući svoju vještinu infiltracije u lance opskrbe temeljene na JavaScriptu i kripto-usmjerene radne procese.

Početni proboj: Iskorištavanje React2Shell-a

Slijed napada započinje iskorištavanjem CVE‑2025‑55182, kritične RSC ranjivosti s savršenom ocjenom ozbiljnosti 10. Koristeći ovu ranjivost, napadači izvršavaju Base64 kodiranu naredbu koja preuzima i pokreće shell skriptu odgovornu za pokretanje primarnog JavaScript implantata.

Skripta se dohvaća putem curla, a wget i python3 djeluju kao sigurnosne metode. Prije pokretanja glavnog korisnog tereta, priprema sustav preuzimanjem Node.js v20.10.0 izravno s nodejs.org, a zatim zapisuje i šifrirani blob podataka i prikriveni JavaScript dropper na disk. Kako bi se ograničili forenzički tragovi, skripta čisti za sobom nakon što je postavljanje dovršeno i predaje kontrolu dropperu.

Isporuka EtherRAT-a: Šifriranje, izvršavanje i pametni ugovor C2

Osnovna funkcija droppera je jednostavna: dešifrirati EtherRAT korisni teret pomoću čvrsto kodiranog ključa i pokrenuti ga sa svježe preuzetom Node.js binarnom datotekom.

EtherRAT-ova istaknuta značajka je oslanjanje na EtherHiding, metodu koja dohvaća adresu C2 poslužitelja iz Ethereum pametnog ugovora svakih pet minuta. To omogućuje operaterima ažuriranje infrastrukture u hodu, čak i ako branitelji poremete postojeće domene.

Jedinstvena novost u ovoj implementaciji je sustav glasanja temeljen na konsenzusu. EtherRAT istovremeno ispituje devet javnih Ethereum RPC krajnjih točaka, prikuplja rezultate i vjeruje C2 URL-u koji vraća većina. Ovaj pristup neutralizira nekoliko obrambenih strategija, osiguravajući da jedna kompromitirana ili manipulirana RPC krajnja točka ne može zavarati ili provaliti u botnet.

Istraživači su prethodno uočili sličnu tehniku u zlonamjernim npm paketima colortoolsv2 i mimelib2, koji su korišteni za distribuciju komponenti za preuzimanje programerima.

Visokofrekventno ispitivanje naredbi i višeslojna perzistencija

Nakon uspostavljanja komunikacije sa svojim C2 serverom, EtherRAT ulazi u brzi ciklus ispitivanja koji se izvodi svakih 500 milisekundi. Svaki odgovor koji prelazi deset znakova interpretira se kao JavaScript i odmah se izvršava na kompromitiranom sustavu.

Dugoročni pristup održava se putem pet tehnika perzistencije, povećavajući pouzdanost u različitim procesima pokretanja Linuxa:

Metode perzistencije:

• Systemd korisnička usluga
• Unos za automatsko pokretanje XDG-a
• Cron poslovi
• .bashrc modifikacija
• Ubrizgavanje profila

Šireći se preko više putanja izvršavanja, zlonamjerni softver nastavlja raditi čak i nakon ponovnog pokretanja, osiguravajući nesmetan pristup operaterima.

Mogućnosti samoažuriranja i strategija zamagljivanja

EtherRAT uključuje sofisticirani proces ažuriranja: šalje vlastiti izvorni kod API krajnjoj točki, prima modificiranu verziju s C2 poslužitelja i ponovno se pokreće s ovom novom varijantom. Iako je ažuriranje funkcionalno identično, vraćeni korisni teret je drugačije maskiran, što pomaže implantatu da izbjegne tehnike detekcije statičkog elektriciteta.

Preklapanje koda s prethodnim obiteljima prijetnji u JavaScriptu

Daljnja analiza otkriva da dijelovi EtherRAT-ovog šifriranog programa za učitavanje dijele obrasce s BeaverTailom, poznatim programom za preuzimanje i kradljivcem informacija temeljenim na JavaScriptu koji se koristi u operacijama Contagious Interview. To potvrđuje procjenu da je EtherRAT ili izravni nasljednik ili proširenje alata korištenih u toj kampanji.

Implikacije za branitelje: Pomak prema prikrivenosti i upornosti

EtherRAT pokazuje značajnu evoluciju u iskorištavanju React2Shella. Umjesto da se fokusira isključivo na oportunističke aktivnosti poput rudarenja kriptovaluta ili krađe vjerodajnica, ovaj implantat daje prioritet prikrivenom, dugoročnom pristupu. Njegova kombinacija C2 operacija vođenih pametnim ugovorima, provjere krajnjih točaka temeljene na konsenzusu, višestrukih slojeva perzistencije i kontinuiranog samo-zamagljivanja predstavlja ozbiljan izazov za branitelje.

Ključne zaključke za sigurnosne timove

Sigurnosni timovi trebaju imati na umu da EtherRAT predstavlja značajnu eskalaciju iskorištavanja RSC-a, pretvarajući ga u trajnu i vrlo prilagodljivu prijetnju sposobnu za dugoročne upade. Njegova infrastruktura zapovijedanja i kontrole posebno je otporna, koristeći pametne ugovore Ethereuma i mehanizam konsenzusa na više krajnjih točaka kako bi se izdržala pokušaja sinkholinga, uklanjanja i manipulacije pojedinačnim krajnjim točkama. Osim toga, bliska povezanost zlonamjernog softvera s kampanjom Contagious Interview ističe kontinuirani fokus na visokovrijedne ciljeve programera, naglašavajući potrebu za pojačanom budnošću unutar zajednica za razvoj blockchaina i Web3.