برنامج EtherRAT الخبيث

يُعتقد أن حملة تهديد تم الكشف عنها مؤخرًا، والمرتبطة بمشغلين من كوريا الشمالية، تستغل ثغرة أمنية خطيرة في React2Shell (RSC) لنشر حصان طروادة للتحكم عن بُعد لم يُرَ من قبل، يُعرف باسم EtherRAT. يتميز هذا البرنامج الخبيث بدمجه عقودًا ذكية من إيثيريوم في سير عمل التحكم والسيطرة (C2)، وتثبيت طبقات متعددة من الثبات على نظام لينكس، وتضمينه بيئة تشغيل Node.js الخاصة به أثناء النشر.

روابط لعمليات “المقابلة المعدية” الجارية

وقد حددت فرق الأمن أوجه تشابه قوية بين نشاط EtherRAT والحملة طويلة الأمد التي يشار إليها باسم Contagious Interview، وهي سلسلة من الهجمات التي كانت نشطة منذ أوائل عام 2025 وتستخدم تقنية EtherHiding لتوصيل البرامج الضارة.

تستهدف هذه العمليات عادةً مطوري تقنية البلوك تشين وWeb3، وذلك بإخفاء نوايا خبيثة وراء مقابلات عمل مزيفة، واختبارات برمجة، وتقييمات فيديو. ويتم التواصل مع الضحايا عادةً عبر منصات مثل LinkedIn وUpwork وFiverr، حيث ينتحل المهاجمون صفة موظفي توظيف شرعيين يعرضون فرص عمل قيّمة.

ويشير الباحثون إلى أن هذه المجموعة من التهديدات أصبحت واحدة من أكثر القوى الخبيثة إنتاجية داخل نظام npm البيئي، مما يدل على مهارتها في اختراق سلاسل التوريد القائمة على JavaScript وسير العمل الذي يركز على العملات المشفرة.

الاختراق الأولي: استغلال React2Shell

تبدأ سلسلة الهجوم باستغلال CVE-2025-55182، وهي ثغرة أمنية خطيرة في RSC بدرجة خطورة مثالية تبلغ 10. باستخدام هذا الخلل، يقوم المهاجمون بتنفيذ أمر مشفر بـ Base64 يقوم بتنزيل وتشغيل برنامج نصي مسؤول عن بدء زرع JavaScript الأساسي.

يتم جلب البرنامج النصي عبر أداة curl، مع استخدام wget وpython3 كطرق احتياطية. قبل تشغيل الحمولة الرئيسية، يُهيئ النظام عن طريق الحصول على Node.js الإصدار 20.10.0 مباشرةً من nodejs.org، ثم يكتب كلاً من كتلة بيانات مشفرة وبرنامج جافا سكريبت مُخفي على القرص. وللحد من آثار التحليل الجنائي، يقوم البرنامج النصي بتنظيف نفسه بعد اكتمال الإعداد، ثم يُسلم التحكم إلى برنامج التنزيل.

تسليم إيثر رات: التشفير، والتنفيذ، والعقد الذكي C2

تتمثل الوظيفة الأساسية لبرنامج التثبيت في فك تشفير حمولة EtherRAT باستخدام مفتاح مضمن في الكود وتشغيلها باستخدام ملف Node.js الثنائي الذي تم تنزيله حديثًا.

تتميز شبكة EtherRAT باعتمادها على تقنية EtherHiding، وهي طريقة تسترجع عنوان خادم التحكم والسيطرة من عقد ذكي على شبكة إيثيريوم كل خمس دقائق. وهذا يسمح للمشغلين بتحديث البنية التحتية فورًا، حتى في حال تمكن المدافعون من تعطيل النطاقات الحالية.

يتميز هذا التطبيق بنظام تصويت فريد قائم على الإجماع. يستعلم برنامج EtherRAT من تسع نقاط نهاية RPC عامة على شبكة إيثيريوم في وقت واحد، ويجمع النتائج، ويثق بعنوان URL الخاص بخادم التحكم والسيطرة (C2) الذي تُرجعه الأغلبية. يُحيد هذا النهج العديد من الاستراتيجيات الدفاعية، مما يضمن عدم قدرة أي نقطة نهاية RPC مخترقة أو مُتلاعب بها على تضليل شبكة الروبوتات أو إغراقها.

رصد الباحثون سابقًا أسلوبًا مشابهًا في حزم npm الخبيثة colortoolsv2 و mimelib2، والتي تم استخدامها لتوزيع مكونات التنزيل على المطورين.

استطلاع الأوامر عالي التردد والاستمرارية متعددة الطبقات

بعد إنشاء اتصال مع خادم التحكم والسيطرة الخاص به، يدخل برنامج EtherRAT في دورة استطلاع سريعة تعمل كل 500 مللي ثانية. أي استجابة تتجاوز عشرة أحرف تُفسَّر على أنها جافا سكريبت ويتم تنفيذها فورًا على النظام المخترق.

يتم الحفاظ على الوصول طويل الأمد من خلال خمس تقنيات استمرارية، مما يعزز الموثوقية عبر عمليات بدء تشغيل نظام لينكس المختلفة:

أساليب المثابرة:

• خدمة مستخدم Systemd
• إدخال بدء التشغيل التلقائي XDG
• مهام Cron
• تعديل ملف .bashrc
• حقن البروفايل

من خلال الانتشار عبر مسارات تنفيذ متعددة، يستمر البرنامج الضار في العمل حتى بعد إعادة التشغيل، مما يضمن وصولاً متواصلاً للمشغلين.

قدرات التحديث الذاتي واستراتيجية التمويه

يتضمن برنامج EtherRAT عملية تحديث متطورة: فهو يرسل شفرته المصدرية إلى نقطة نهاية API، ويتلقى نسخة معدلة من خادم التحكم والسيطرة، ثم يعيد تشغيل نفسه بهذه النسخة الجديدة. ورغم أن التحديث متطابق وظيفيًا، إلا أن الحمولة المُعادة مُشفرة بطريقة مختلفة، مما يُساعد البرنامج على التهرب من تقنيات الكشف الثابتة.

يتداخل الكود مع عائلات التهديدات السابقة في جافا سكريبت

يكشف تحليل إضافي أن أجزاءً من برنامج التحميل المشفر لبرنامج EtherRAT تشترك في أنماط مع برنامج BeaverTail، وهو برنامج معروف لتحميل البيانات وسرقة المعلومات يعتمد على لغة جافا سكريبت، ويُستخدم في عمليات Contagious Interview. وهذا يُعزز التقييم القائل بأن EtherRAT إما خليفة مباشر أو امتداد للأدوات المستخدمة في تلك الحملة.

الآثار المترتبة على المدافعين: التحول نحو التخفي والمثابرة

يُظهر برنامج EtherRAT تطورًا ملحوظًا في استغلال React2Shell. فبدلًا من التركيز فقط على الأنشطة الانتهازية مثل تعدين العملات الرقمية أو سرقة بيانات الاعتماد، يُعطي هذا البرنامج الخبيث الأولوية للوصول الخفي طويل الأمد. ويُمثل مزيجه من عمليات التحكم والسيطرة المدفوعة بالعقود الذكية، والتحقق من نقاط النهاية القائم على الإجماع، وطبقات التخزين المتعددة، والتمويه الذاتي المستمر، تحديًا كبيرًا للمدافعين.

أهم النقاط التي يجب على فرق الأمن مراعاتها

ينبغي على فرق الأمن أن تدرك أن برنامج EtherRAT يمثل تصعيدًا خطيرًا في استغلال ثغرات RSC، مما يحوله إلى تهديد مستمر وقابل للتكيف بدرجة عالية، قادر على تحمل عمليات اختراق طويلة الأمد. تتميز بنيته التحتية للتحكم والسيطرة بمرونة فائقة، إذ تستفيد من العقود الذكية لشبكة إيثيريوم وآلية إجماع متعددة الأطراف لمقاومة محاولات الاختراق، وعمليات الإيقاف، والتلاعب بالنقاط الطرفية الفردية. علاوة على ذلك، يُبرز ارتباط البرنامج الخبيث الوثيق بحملة Contagious Interview التركيز المستمر على استهداف المطورين ذوي القيمة العالية، مما يؤكد الحاجة إلى مزيد من اليقظة في مجتمعات تطوير تقنية البلوك تشين وWeb3.