EtherRAT-malware
Een recent ontdekte dreigingscampagne, gelinkt aan Noord-Koreaanse actoren, zou de kritieke kwetsbaarheid in React2Shell (RSC) misbruiken om een voorheen onbekende remote access trojan genaamd EtherRAT te verspreiden. Deze malware onderscheidt zich door de integratie van Ethereum smart contracts in de Command-and-Control (C2) workflow, de installatie van meerdere persistentielagen op Linux en de bundeling van een eigen Node.js runtime tijdens de implementatie.
Inhoudsopgave
Links naar de lopende 'Contagious Interview'-operaties
Beveiligingsteams hebben sterke overeenkomsten vastgesteld tussen de activiteiten van EtherRAT en de langlopende campagne die bekendstaat als Contagious Interview, een reeks aanvallen die sinds begin 2025 actief is en de EtherHiding-techniek gebruikt voor de verspreiding van malware.
Deze oplichtingspraktijken richten zich doorgaans op blockchain- en Web3-ontwikkelaars door kwaadaardige bedoelingen te verbergen achter gefabriceerde sollicitatiegesprekken, programmeertests en video-assessments. Slachtoffers worden meestal benaderd via platforms zoals LinkedIn, Upwork en Fiverr, waar aanvallers zich voordoen als legitieme recruiters die aantrekkelijke vacatures aanbieden.
Onderzoekers merken op dat dit dreigingscluster een van de meest productieve kwaadwillende krachten binnen het npm-ecosysteem is geworden, wat aantoont dat het in staat is om op JavaScript gebaseerde toeleveringsketens en op cryptovaluta gerichte workflows te infiltreren.
De eerste inbreuk: Exploitatie van React2Shell
De aanvalssequentie begint met het exploiteren van CVE‑2025‑55182, een kritieke RSC-kwetsbaarheid met een perfecte ernstscore van 10. Door gebruik te maken van deze kwetsbaarheid voeren aanvallers een Base64-gecodeerd commando uit dat een shellscript downloadt en activeert dat verantwoordelijk is voor het initiëren van de primaire JavaScript-implantatie.
Het script wordt opgehaald via curl, waarbij wget en python3 als back-upmethoden dienen. Voordat de hoofdpayload wordt uitgevoerd, bereidt het het systeem voor door Node.js v20.10.0 rechtstreeks van nodejs.org te downloaden en vervolgens zowel een versleutelde datablob als een verborgen JavaScript-dropper naar de schijf te schrijven. Om forensische sporen te beperken, ruimt het script zichzelf op zodra de installatie is voltooid en geeft het de controle over aan de dropper.
Levering van EtherRAT: Versleuteling, uitvoering en smart contract C2
De kernfunctie van de dropper is eenvoudig: de EtherRAT-payload decoderen met behulp van een vastgelegde sleutel en deze starten met het zojuist gedownloade Node.js-bestand.
Het meest opvallende kenmerk van EtherRAT is het gebruik van EtherHiding, een methode die elke vijf minuten het C2-serveradres ophaalt uit een Ethereum-smartcontract. Hierdoor kunnen de beheerders de infrastructuur direct bijwerken, zelfs als aanvallers bestaande domeinen verstoren.
Een uniek aspect van deze implementatie is het op consensus gebaseerde stemsysteem. EtherRAT bevraagt gelijktijdig negen openbare Ethereum RPC-eindpunten, verzamelt de resultaten en vertrouwt op de C2-URL die door de meerderheid wordt geretourneerd. Deze aanpak neutraliseert verschillende verdedigingsstrategieën, waardoor wordt gegarandeerd dat één gecompromitteerd of gemanipuleerd RPC-eindpunt het botnet niet kan misleiden of platleggen.
Onderzoekers ontdekten eerder een vergelijkbare techniek in de kwaadaardige npm-pakketten colortoolsv2 en mimelib2, die werden gebruikt om downloadercomponenten aan ontwikkelaars te distribueren.
Hoogfrequente commando-polling en persistentie in meerdere lagen
Nadat EtherRAT verbinding heeft gemaakt met zijn C2-server, start het een snelle pollingcyclus die elke 500 milliseconden wordt uitgevoerd. Elk antwoord dat langer is dan tien tekens wordt geïnterpreteerd als JavaScript en direct uitgevoerd op het gecompromitteerde systeem.
Langdurige toegang wordt gewaarborgd door vijf persistentietechnieken, waardoor de betrouwbaarheid van diverse Linux-opstartprocessen wordt verbeterd:
Methoden voor persistentie:
- Systemd-gebruikersservice
- XDG autostart-item
- Cron-banen
- .bashrc-wijziging
- Profielinjectie
Doordat de malware zich over meerdere uitvoeringspaden verspreidt, blijft deze zelfs na herstarts actief, waardoor de beheerders ononderbroken toegang behouden.
Zelfvernieuwende mogelijkheden en verduisteringsstrategie
EtherRAT maakt gebruik van een geavanceerd updateproces: het stuurt zijn eigen broncode naar een API-eindpunt, ontvangt een aangepaste versie van de C2-server en herstart zichzelf met deze nieuwe variant. Hoewel de update functioneel identiek is, is de teruggestuurde payload anders versleuteld, waardoor het implantaat statische detectietechnieken kan omzeilen.
Code overlapt met eerdere JavaScript-dreigingsfamilies
Nader onderzoek wijst uit dat delen van EtherRAT's versleutelde loader overeenkomsten vertonen met BeaverTail, een bekende JavaScript-gebaseerde downloader en informatieverzamelaar die gebruikt werd bij de Contagious Interview-operaties. Dit versterkt de conclusie dat EtherRAT een directe opvolger of een uitbreiding is van de tools die in die campagne werden gebruikt.
Implicaties voor verdedigers: een verschuiving naar stealth en persistentie.
EtherRAT laat een aanzienlijke evolutie zien in de exploitatie van React2Shell. In plaats van zich uitsluitend te richten op opportunistische activiteiten zoals cryptomining of diefstal van inloggegevens, geeft deze malware prioriteit aan heimelijke toegang op de lange termijn. De combinatie van smart-contract-gestuurde C2-operaties, consensusgebaseerde endpointverificatie, meerdere persistentielagen en continue zelfverhulling vormt een serieuze uitdaging voor verdedigers.
Belangrijkste conclusies voor beveiligingsteams
Beveiligingsteams moeten zich ervan bewust zijn dat EtherRAT een aanzienlijke escalatie in de exploitatie van RSC vertegenwoordigt, waardoor het een persistente en zeer aanpasbare dreiging is geworden die langdurige inbraken kan volhouden. De command-and-control-infrastructuur is bijzonder robuust en maakt gebruik van Ethereum smart contracts en een consensusmechanisme met meerdere eindpunten om sinkholing-pogingen, uitschakelingen en manipulatie van individuele eindpunten te weerstaan. Bovendien benadrukt de nauwe band van de malware met de Contagious Interview-campagne de aanhoudende focus op waardevolle ontwikkelaars, wat de noodzaak onderstreept voor verhoogde waakzaamheid binnen de blockchain- en Web3-ontwikkelingsgemeenschappen.
