EtherRAT-skadevare
En nylig avdekket trusselkampanje knyttet til nordkoreanske operatører antas å utnytte den kritiske sårbarheten React2Shell (RSC) for å distribuere en tidligere usett trojaner for fjerntilgang kjent som EtherRAT. Denne skadelige programvaren skiller seg ut ved å integrere Ethereums smarte kontrakter i sin Command-and-Control (C2)-arbeidsflyt, installere flere persistenslag på Linux og pakke sin egen Node.js-kjøretid under distribusjonen.
Innholdsfortegnelse
Lenker til de pågående «smittsomme intervju»-operasjonene
Sikkerhetsteam har identifisert sterke likheter mellom EtherRAT-aktivitet og den langvarige kampanjen omtalt som Contagious Interview, en serie angrep som har vært aktive siden tidlig i 2025 og bruker EtherHiding-teknikken for levering av skadelig programvare.
Disse operasjonene retter seg vanligvis mot blokkjede- og Web3-utviklere ved å maskere ondsinnede intensjoner bak fabrikkerte jobbintervjuer, kodetester og videovurderinger. Ofrene blir vanligvis kontaktet via plattformer som LinkedIn, Upwork og Fiverr, der angriperne utgir seg for å være legitime rekrutterere som tilbyr verdifulle jobbmuligheter.
Forskere bemerker at denne trusselklyngen har blitt en av de mest produktive ondsinnede kreftene i npm-økosystemet, og demonstrerer dens ferdigheter i å infiltrere JavaScript-baserte forsyningskjeder og kryptofokuserte arbeidsflyter.
Det første bruddet: React2Shell-utnyttelse
Angrepssekvensen begynner med utnyttelsen av CVE-2025-55182, en kritisk RSC-sårbarhet med en perfekt alvorlighetsgrad på 10. Ved å bruke denne feilen utfører angriperne en Base64-kodet kommando som laster ned og utløser et skallskript som er ansvarlig for å starte det primære JavaScript-implantatet.
Skriptet hentes via curl, med wget og python3 som backup-metoder. Før hovednyttelasten startes, forbereder det systemet ved å hente Node.js v20.10.0 direkte fra nodejs.org, og skriver deretter både en kryptert datablob og en skjult JavaScript-dropper til disken. For å begrense rettsmedisinske spor, rydder skriptet opp etter seg selv når oppsettet er fullført og overfører kontrollen til dropperen.
Levering av EtherRAT: Kryptering, utførelse og smartkontrakt C2
Dropperens kjernefunksjon er enkel: dekrypter EtherRAT-nyttelasten med en hardkodet nøkkel og start den med den nylig nedlastede Node.js-binærfilen.
EtherRATs enestående funksjon er avhengigheten av EtherHiding, en metode som henter C2-serveradressen fra en Ethereum-smartkontrakt hvert femte minutt. Dette lar operatørene oppdatere infrastrukturen på sparket, selv om forsvarere forstyrrer eksisterende domener.
En unik vri i denne implementeringen er det konsensusbaserte avstemningssystemet. EtherRAT spør ni offentlige Ethereum RPC-endepunkter samtidig, samler inn resultatene og stoler på C2-URL-en som returneres av flertallet. Denne tilnærmingen nøytraliserer flere defensive strategier, og sikrer at ett kompromittert eller manipulert RPC-endepunkt ikke kan villede eller sette seg i botnettet.
Forskere oppdaget tidligere en lignende teknikk i de ondsinnede npm-pakkene colortoolsv2 og mimelib2, som ble brukt til å distribuere nedlastingskomponenter til utviklere.
Høyfrekvent kommandoavstemning og flerlagspersistens
Etter å ha opprettet kommunikasjon med C2-serveren sin, går EtherRAT inn i en rask avstemningssyklus som kjører hvert 500. millisekund. Ethvert svar som overstiger ti tegn tolkes som JavaScript og kjøres umiddelbart på det kompromitterte systemet.
Langsiktig tilgang opprettholdes gjennom fem persistensteknikker, som øker påliteligheten på tvers av ulike Linux-oppstartsprosesser:
Persistensmetoder:
- Systemd-brukertjeneste
- XDG autostart-oppføring
- Cron-jobber
- .bashrc-modifisering
- Profilinjeksjon
Ved å spre seg over flere utførelsesbaner fortsetter skadevaren å kjøre selv etter omstart, noe som sikrer uavbrutt tilgang for operatørene.
Selvoppdaterende evner og obfuskasjonsstrategi
EtherRAT inkluderer en sofistikert oppdateringsprosess: den sender sin egen kildekode til et API-endepunkt, mottar en modifisert versjon fra C2-serveren og starter seg selv på nytt med denne nye varianten. Selv om oppdateringen er funksjonelt identisk, er den returnerte nyttelasten tilslørt annerledes, noe som hjelper implantatet med å unngå statiske deteksjonsteknikker.
Kodeoverlapper med tidligere JavaScript-trusselfamilier
Videre analyse avslører at deler av EtherRATs krypterte laster deler mønstre med BeaverTail, en kjent JavaScript-basert nedlaster og informasjonstyver som brukes i Contagious Interview-operasjoner. Dette forsterker vurderingen av at EtherRAT enten er en direkte etterfølger eller en utvidelse av verktøyet som brukes i den kampanjen.
Implikasjoner for forsvarere: Et skifte mot sniking og utholdenhet
EtherRAT demonstrerer en betydelig utvikling i utnyttelsen av React2Shell. I stedet for å fokusere utelukkende på opportunistiske aktiviteter som kryptomining eller tyveri av legitimasjon, prioriterer dette implantatet skjult, langsiktig tilgang. Blandingen av smartkontraktdrevne C2-operasjoner, konsensusbasert endepunktverifisering, flere persistenslag og kontinuerlig selvforvirring utgjør en alvorlig utfordring for forsvarere.
Viktige lærdommer for sikkerhetsteam
Sikkerhetsteam bør merke seg at EtherRAT representerer en betydelig opptrapping i RSC-utnyttelse, og forvandler den til en vedvarende og svært tilpasningsdyktig trussel som er i stand til å tåle langsiktige inntrenginger. Kommando- og kontrollinfrastrukturen er spesielt robust, og utnytter Ethereums smarte kontrakter og en konsensusmekanisme for flere endepunkter for å motstå forsøk på å "synkehull", nedtakelser og manipulering av individuelle endepunkter. I tillegg fremhever skadevarens nære tilknytning til Contagious Interview-kampanjen et kontinuerlig fokus på utviklermål med høy verdi, noe som understreker behovet for økt årvåkenhet innenfor blokkjede- og Web3-utviklingsmiljøene.
