ఈథర్రాట్ మాల్వేర్
ఉత్తర కొరియా ఆపరేటర్లతో ముడిపడి ఉన్న ఇటీవల బయటపడిన బెదిరింపు ప్రచారం, గతంలో కనిపించని రిమోట్ యాక్సెస్ ట్రోజన్ను EtherRAT అని పిలిచే ఒక రియాక్ట్2షెల్ (RSC) దుర్బలత్వాన్ని ఉపయోగించుకుంటున్నట్లు నమ్ముతారు. ఈ మాల్వేర్ దాని కమాండ్-అండ్-కంట్రోల్ (C2) వర్క్ఫ్లోలో Ethereum స్మార్ట్ కాంట్రాక్టులను చేర్చడం, Linuxలో బహుళ పెర్సిస్టెన్స్ లేయర్లను ఇన్స్టాల్ చేయడం మరియు డిప్లాయ్మెంట్ సమయంలో దాని స్వంత Node.js రన్టైమ్ను బండిల్ చేయడం ద్వారా ప్రత్యేకంగా నిలుస్తుంది.
విషయ సూచిక
కొనసాగుతున్న 'కంటేజియస్ ఇంటర్వ్యూ' కార్యకలాపాలకు లింకులు
EtherRAT కార్యాచరణ మరియు Contagious Interview అని పిలువబడే దీర్ఘకాల ప్రచారానికి మధ్య బలమైన సారూప్యతలను భద్రతా బృందాలు గుర్తించాయి, ఇది 2025 ప్రారంభం నుండి చురుకుగా ఉన్న దాడుల శ్రేణి మరియు మాల్వేర్ డెలివరీ కోసం EtherHidding సాంకేతికతను ఉపయోగిస్తుంది.
ఈ కార్యకలాపాలు సాధారణంగా బ్లాక్చెయిన్ మరియు వెబ్3 డెవలపర్లను లక్ష్యంగా చేసుకుని కల్పిత ఉద్యోగ ఇంటర్వ్యూలు, కోడింగ్ పరీక్షలు మరియు వీడియో అసెస్మెంట్ల వెనుక ఉన్న హానికరమైన ఉద్దేశాలను దాచిపెడతాయి. బాధితులను సాధారణంగా లింక్డ్ఇన్, అప్వర్క్ మరియు ఫైవర్ వంటి ప్లాట్ఫారమ్ల ద్వారా సంప్రదిస్తారు, ఇక్కడ దాడి చేసేవారు అధిక-విలువైన ఉపాధి అవకాశాలను అందించే చట్టబద్ధమైన రిక్రూటర్ల వలె నటించి మోసగిస్తారు.
ఈ బెదిరింపు క్లస్టర్ npm పర్యావరణ వ్యవస్థలో అత్యంత ఉత్పాదక హానికరమైన శక్తులలో ఒకటిగా మారిందని, జావాస్క్రిప్ట్ ఆధారిత సరఫరా గొలుసులు మరియు క్రిప్టో-కేంద్రీకృత వర్క్ఫ్లోలలోకి చొరబడటంలో దాని నైపుణ్యాన్ని ప్రదర్శిస్తుందని పరిశోధకులు గమనించారు.
ప్రారంభ ఉల్లంఘన: రియాక్ట్2షెల్ దోపిడీ
దాడి క్రమం CVE‑2025‑55182 యొక్క దోపిడీతో ప్రారంభమవుతుంది, ఇది 10 యొక్క పరిపూర్ణ తీవ్రత స్కోరుతో కీలకమైన RSC దుర్బలత్వం. ఈ లోపాన్ని ఉపయోగించి, దాడి చేసేవారు ప్రాథమిక జావాస్క్రిప్ట్ ఇంప్లాంట్ను ప్రారంభించడానికి బాధ్యత వహించే షెల్ స్క్రిప్ట్ను డౌన్లోడ్ చేసి, ట్రిగ్గర్ చేసే Base64‑ఎన్కోడ్ చేసిన ఆదేశాన్ని అమలు చేస్తారు.
స్క్రిప్ట్ను కర్ల్ ద్వారా పొందవచ్చు, wget మరియు python3 బ్యాకప్ పద్ధతులుగా పనిచేస్తాయి. ప్రధాన పేలోడ్ను ప్రారంభించే ముందు, ఇది nodejs.org నుండి నేరుగా Node.js v20.10.0ని పొందడం ద్వారా సిస్టమ్ను సిద్ధం చేస్తుంది, ఆపై ఎన్క్రిప్టెడ్ డేటా బ్లాబ్ మరియు అస్పష్టమైన జావాస్క్రిప్ట్ డ్రాపర్ రెండింటినీ డిస్క్కు వ్రాస్తుంది. ఫోరెన్సిక్ ట్రేస్లను పరిమితం చేయడానికి, సెటప్ పూర్తయిన తర్వాత స్క్రిప్ట్ స్వయంగా శుభ్రపరుస్తుంది మరియు నియంత్రణను డ్రాపర్కు అప్పగిస్తుంది.
EtherRAT డెలివరీ: ఎన్క్రిప్షన్, ఎగ్జిక్యూషన్ మరియు స్మార్ట్ కాంట్రాక్ట్ C2
డ్రాపర్ యొక్క ప్రధాన విధి సూటిగా ఉంటుంది: హార్డ్-కోడెడ్ కీని ఉపయోగించి EtherRAT పేలోడ్ను డీక్రిప్ట్ చేసి, తాజాగా డౌన్లోడ్ చేసిన Node.js బైనరీతో దాన్ని ప్రారంభించండి.
EtherRAT యొక్క విశిష్ట లక్షణం ఏమిటంటే, ప్రతి ఐదు నిమిషాలకు Ethereum స్మార్ట్ కాంట్రాక్ట్ నుండి C2 సర్వర్ చిరునామాను తిరిగి పొందే పద్ధతి అయిన EtherHidding పై ఆధారపడటం. డిఫెండర్లు ఇప్పటికే ఉన్న డొమైన్లకు అంతరాయం కలిగించినప్పటికీ, ఆపరేటర్లు తక్షణమే మౌలిక సదుపాయాలను నవీకరించడానికి ఇది అనుమతిస్తుంది.
ఈ అమలులో ఒక ప్రత్యేకమైన మలుపు దాని ఏకాభిప్రాయ ఆధారిత ఓటింగ్ వ్యవస్థ. EtherRAT ఒకేసారి తొమ్మిది పబ్లిక్ Ethereum RPC ఎండ్పాయింట్లను ప్రశ్నిస్తుంది, ఫలితాలను సేకరిస్తుంది మరియు మెజారిటీ తిరిగి ఇచ్చిన C2 URLను విశ్వసిస్తుంది. ఈ విధానం అనేక రక్షణాత్మక వ్యూహాలను తటస్థీకరిస్తుంది, ఒక రాజీపడిన లేదా మార్చబడిన RPC ఎండ్పాయింట్ బాట్నెట్ను తప్పుదారి పట్టించదని లేదా మునిగిపోదని నిర్ధారిస్తుంది.
పరిశోధకులు గతంలో ఇలాంటి సాంకేతికతను హానికరమైన npm ప్యాకేజీలైన colortoolsv2 మరియు mimelib2 లలో గుర్తించారు, వీటిని డెవలపర్లకు డౌన్లోడ్ భాగాలను పంపిణీ చేయడానికి ఉపయోగించారు.
హై-ఫ్రీక్వెన్సీ కమాండ్ పోలింగ్ మరియు మల్టీ-లేయర్ పెర్సిస్టెన్స్
దాని C2 సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేసుకున్న తర్వాత, EtherRAT ప్రతి 500 మిల్లీసెకన్లకు నడుస్తున్న వేగవంతమైన పోలింగ్ చక్రంలోకి ప్రవేశిస్తుంది. పది అక్షరాలను మించిన ఏదైనా ప్రతిస్పందన జావాస్క్రిప్ట్గా అన్వయించబడుతుంది మరియు రాజీపడిన సిస్టమ్లో తక్షణమే అమలు చేయబడుతుంది.
వివిధ Linux స్టార్టప్ ప్రక్రియలలో విశ్వసనీయతను పెంచుతూ, ఐదు నిలకడ పద్ధతుల ద్వారా దీర్ఘకాలిక యాక్సెస్ నిర్వహించబడుతుంది:
పట్టుదల పద్ధతులు:
- Systemd వినియోగదారు సేవ
- XDG ఆటోస్టార్ట్ ఎంట్రీ
- క్రాన్ ఉద్యోగాలు
- .bashrc సవరణ
- ప్రొఫైల్ ఇంజెక్షన్
బహుళ అమలు మార్గాల్లో వ్యాపించడం ద్వారా, మాల్వేర్ రీబూట్ల తర్వాత కూడా రన్ అవుతూనే ఉంటుంది, ఆపరేటర్లకు అంతరాయం లేని యాక్సెస్ను నిర్ధారిస్తుంది.
స్వీయ-నవీకరణ సామర్థ్యాలు మరియు అస్పష్టత వ్యూహం
EtherRAT ఒక అధునాతన నవీకరణ ప్రక్రియను కలిగి ఉంది: ఇది దాని స్వంత సోర్స్ కోడ్ను API ఎండ్పాయింట్కు పంపుతుంది, C2 సర్వర్ నుండి సవరించిన సంస్కరణను అందుకుంటుంది మరియు ఈ కొత్త వేరియంట్తో తిరిగి ప్రారంభమవుతుంది. నవీకరణ క్రియాత్మకంగా ఒకేలా ఉన్నప్పటికీ, తిరిగి వచ్చిన పేలోడ్ భిన్నంగా అస్పష్టంగా ఉంటుంది, ఇంప్లాంట్ స్టాటిక్ డిటెక్షన్ టెక్నిక్లను తప్పించుకోవడానికి సహాయపడుతుంది.
మునుపటి జావాస్క్రిప్ట్ ముప్పు కుటుంబాలతో కోడ్ అతివ్యాప్తి చెందింది
మరింత విశ్లేషణ ప్రకారం, EtherRAT యొక్క ఎన్క్రిప్టెడ్ లోడర్లోని భాగాలు, కాంటాజియస్ ఇంటర్వ్యూ ఆపరేషన్లలో ఉపయోగించే ప్రసిద్ధ జావాస్క్రిప్ట్ ఆధారిత డౌన్లోడ్ మరియు సమాచార దొంగ అయిన BeaverTailతో నమూనాలను పంచుకుంటాయి. ఇది EtherRAT అనేది ప్రత్యక్ష వారసుడు లేదా ఆ ప్రచారంలో ఉపయోగించే సాధనం యొక్క పొడిగింపు అనే అంచనాను బలోపేతం చేస్తుంది.
రక్షకులకు చిక్కులు: రహస్యం మరియు పట్టుదల వైపు ఒక మార్పు
React2Shell దోపిడీలో EtherRAT గణనీయమైన పరిణామాన్ని ప్రదర్శిస్తుంది. క్రిప్టోమైనింగ్ లేదా క్రెడెన్షియల్ దొంగతనం వంటి అవకాశవాద కార్యకలాపాలపై మాత్రమే దృష్టి పెట్టడానికి బదులుగా, ఈ ఇంప్లాంట్ రహస్య, దీర్ఘకాలిక యాక్సెస్కు ప్రాధాన్యత ఇస్తుంది. స్మార్ట్-కాంట్రాక్ట్-ఆధారిత C2 ఆపరేషన్లు, ఏకాభిప్రాయ-ఆధారిత ఎండ్పాయింట్ ధృవీకరణ, బహుళ నిలకడ పొరలు మరియు నిరంతర స్వీయ-అస్పష్టత యొక్క దాని మిశ్రమం రక్షకులకు తీవ్రమైన సవాలును కలిగిస్తుంది.
భద్రతా బృందాలకు కీలకమైన అంశాలు
భద్రతా బృందాలు EtherRAT RSC దోపిడీలో గణనీయమైన పెరుగుదలను సూచిస్తుందని, దీర్ఘకాలిక చొరబాట్లను తట్టుకోగల నిరంతర మరియు అత్యంత అనుకూలీకరించదగిన ముప్పుగా మారుస్తుందని గమనించాలి. దీని కమాండ్-అండ్-కంట్రోల్ మౌలిక సదుపాయాలు ముఖ్యంగా స్థితిస్థాపకంగా ఉంటాయి, Ethereum స్మార్ట్ కాంట్రాక్టులను మరియు వ్యక్తిగత ఎండ్ పాయింట్ల యొక్క సింక్హోలింగ్ ప్రయత్నాలు, తొలగింపులు మరియు తారుమారుని తట్టుకోవడానికి బహుళ-ఎండ్పాయింట్ ఏకాభిప్రాయ యంత్రాంగాన్ని ఉపయోగిస్తాయి. అదనంగా, కాంటాజియస్ ఇంటర్వ్యూ ప్రచారంతో మాల్వేర్ యొక్క దగ్గరి సంబంధం అధిక-విలువ డెవలపర్ లక్ష్యాలపై కొనసాగుతున్న దృష్టిని హైలైట్ చేస్తుంది, బ్లాక్చెయిన్ మరియు వెబ్3 అభివృద్ధి సంఘాలలో అధిక నిఘా అవసరాన్ని నొక్కి చెబుతుంది.
