EtherRAT Malware

উত্তর কোরিয়ার অপারেটরদের সাথে যুক্ত একটি সম্প্রতি আবিষ্কৃত হুমকি প্রচারণা, EtherRAT নামে পরিচিত একটি পূর্বে অদেখা রিমোট অ্যাক্সেস ট্রোজান স্থাপনের জন্য গুরুত্বপূর্ণ React2Shell (RSC) দুর্বলতাকে কাজে লাগাচ্ছে বলে মনে করা হচ্ছে। এই ম্যালওয়্যারটি তার কমান্ড-এন্ড-কন্ট্রোল (C2) ওয়ার্কফ্লোতে Ethereum স্মার্ট চুক্তি অন্তর্ভুক্ত করার, লিনাক্সে একাধিক পারসিস্টেন্স লেয়ার ইনস্টল করার এবং স্থাপনের সময় নিজস্ব Node.js রানটাইম বান্ডিল করার জন্য আলাদা।

চলমান 'সংক্রামক সাক্ষাৎকার' অভিযানের লিঙ্ক

নিরাপত্তা দলগুলি EtherRAT কার্যকলাপ এবং দীর্ঘমেয়াদী প্রচারণার মধ্যে দৃঢ় মিল সনাক্ত করেছে যাকে Contagious Interview বলা হয়, এটি ২০২৫ সালের গোড়ার দিক থেকে সক্রিয় আক্রমণের একটি সিরিজ এবং ম্যালওয়্যার সরবরাহের জন্য EtherHiding কৌশল ব্যবহার করে।

এই অপারেশনগুলি সাধারণত ব্লকচেইন এবং ওয়েব3 ডেভেলপারদের লক্ষ্য করে তৈরি করা হয় জাল চাকরির সাক্ষাৎকার, কোডিং পরীক্ষা এবং ভিডিও মূল্যায়নের পিছনে দূষিত উদ্দেশ্যগুলি লুকিয়ে রাখার মাধ্যমে। লিঙ্কডইন, আপওয়ার্ক এবং ফাইভারের মতো প্ল্যাটফর্মের মাধ্যমে সাধারণত ভুক্তভোগীদের সাথে যোগাযোগ করা হয়, যেখানে আক্রমণকারীরা উচ্চ-মূল্যের কর্মসংস্থানের সুযোগ প্রদানকারী বৈধ নিয়োগকারীদের ছদ্মবেশ ধারণ করে।

গবেষকরা লক্ষ্য করেছেন যে এই হুমকি গোষ্ঠীটি npm ইকোসিস্টেমের মধ্যে সবচেয়ে উৎপাদনশীল দূষিত শক্তিগুলির মধ্যে একটি হয়ে উঠেছে, যা জাভাস্ক্রিপ্ট-ভিত্তিক সরবরাহ শৃঙ্খল এবং ক্রিপ্টো-কেন্দ্রিক কর্মপ্রবাহে অনুপ্রবেশের দক্ষতা প্রদর্শন করে।

প্রাথমিক লঙ্ঘন: React2Shell শোষণ

আক্রমণের ক্রমটি CVE-2025-55182 এর শোষণের মাধ্যমে শুরু হয়, যা একটি গুরুত্বপূর্ণ RSC দুর্বলতা যার নিখুঁত তীব্রতা স্কোর 10। এই ত্রুটিটি ব্যবহার করে, আক্রমণকারীরা একটি Base64-এনকোডেড কমান্ড কার্যকর করে যা প্রাথমিক জাভাস্ক্রিপ্ট ইমপ্লান্ট শুরু করার জন্য দায়ী একটি শেল স্ক্রিপ্ট ডাউনলোড এবং ট্রিগার করে।

স্ক্রিপ্টটি কার্লের মাধ্যমে আনা হয়, যেখানে wget এবং python3 ব্যাকআপ পদ্ধতি হিসেবে কাজ করে। প্রধান পেলোড চালু করার আগে, এটি nodejs.org থেকে সরাসরি Node.js v20.10.0 অর্জন করে সিস্টেম প্রস্তুত করে, তারপর একটি এনক্রিপ্ট করা ডেটা ব্লব এবং একটি অস্পষ্ট জাভাস্ক্রিপ্ট ড্রপার উভয়ই ডিস্কে লেখে। ফরেনসিক ট্রেস সীমিত করার জন্য, সেটআপ সম্পূর্ণ হওয়ার পরে স্ক্রিপ্টটি নিজেই পরিষ্কার হয়ে যায় এবং ড্রপারের কাছে নিয়ন্ত্রণ হস্তান্তর করে।

ইথাররেটের ডেলিভারি: এনক্রিপশন, এক্সিকিউশন এবং স্মার্ট কন্ট্রাক্ট C2

ড্রপারের মূল কাজটি সহজ: একটি হার্ড-কোডেড কী ব্যবহার করে EtherRAT পেলোড ডিক্রিপ্ট করা এবং সদ্য ডাউনলোড করা Node.js বাইনারি দিয়ে এটি চালু করা।

EtherRAT-এর অসাধারণ বৈশিষ্ট্য হল EtherHiding-এর উপর নির্ভরতা, যা প্রতি পাঁচ মিনিটে একটি Ethereum স্মার্ট চুক্তি থেকে C2 সার্ভার ঠিকানা পুনরুদ্ধার করে। এটি অপারেটরদের তাৎক্ষণিকভাবে অবকাঠামো আপডেট করার সুযোগ দেয়, এমনকি যদি ডিফেন্ডাররা বিদ্যমান ডোমেনগুলিকে ব্যাহত করে।

এই বাস্তবায়নের একটি অনন্য মোড় হল এর ঐক্যমত্য-ভিত্তিক ভোটিং সিস্টেম। EtherRAT একই সাথে নয়টি পাবলিক Ethereum RPC এন্ডপয়েন্ট অনুসন্ধান করে, ফলাফল সংগ্রহ করে এবং সংখ্যাগরিষ্ঠদের দ্বারা ফেরত C2 URL-এ বিশ্বাস করে। এই পদ্ধতিটি বেশ কয়েকটি প্রতিরক্ষামূলক কৌশলকে নিরপেক্ষ করে, নিশ্চিত করে যে একটি আপোস করা বা ম্যানিপুলেটেড RPC এন্ডপয়েন্ট বটনেটকে বিভ্রান্ত করতে বা ডুবিয়ে দিতে পারে না।

গবেষকরা পূর্বে ক্ষতিকারক npm প্যাকেজ colortoolsv2 এবং mimelib2-তে একই ধরণের কৌশল লক্ষ্য করেছিলেন, যা ডেভেলপারদের কাছে ডাউনলোডার উপাদান বিতরণ করতে ব্যবহৃত হত।

উচ্চ-ফ্রিকোয়েন্সি কমান্ড পোলিং এবং বহু-স্তরীয় স্থায়িত্ব

C2 সার্ভারের সাথে যোগাযোগ স্থাপনের পর, EtherRAT প্রতি 500 মিলিসেকেন্ডে চলমান একটি দ্রুত পোলিং চক্রে প্রবেশ করে। দশ অক্ষরের বেশি যেকোনো প্রতিক্রিয়া জাভাস্ক্রিপ্ট হিসাবে ব্যাখ্যা করা হয় এবং আপোস করা সিস্টেমে তাৎক্ষণিকভাবে কার্যকর করা হয়।

দীর্ঘমেয়াদী অ্যাক্সেস পাঁচটি স্থায়িত্ব কৌশলের মাধ্যমে বজায় রাখা হয়, যা বিভিন্ন লিনাক্স স্টার্টআপ প্রক্রিয়া জুড়ে নির্ভরযোগ্যতা বৃদ্ধি করে:

অধ্যবসায় পদ্ধতি:

• সিস্টেমড ব্যবহারকারী পরিষেবা
• XDG অটোস্টার্ট এন্ট্রি
• ক্রোন জবস
• .bashrc পরিবর্তন
• প্রোফাইল ইনজেকশন

একাধিক এক্সিকিউশন পাথ জুড়ে ছড়িয়ে পড়ার মাধ্যমে, ম্যালওয়্যারটি রিবুট করার পরেও চলতে থাকে, যা অপারেটরদের জন্য নিরবচ্ছিন্ন অ্যাক্সেস নিশ্চিত করে।

স্ব-আপডেট করার ক্ষমতা এবং অস্পষ্টতা কৌশল

EtherRAT-এ একটি অত্যাধুনিক আপডেট প্রক্রিয়া অন্তর্ভুক্ত রয়েছে: এটি একটি API এন্ডপয়েন্টে নিজস্ব সোর্স কোড পাঠায়, C2 সার্ভার থেকে একটি পরিবর্তিত সংস্করণ গ্রহণ করে এবং এই নতুন ভেরিয়েন্টের সাথে নিজেকে পুনরায় চালু করে। যদিও আপডেটটি কার্যকরীভাবে অভিন্ন, ফিরে আসা পেলোডটি ভিন্নভাবে অস্পষ্ট থাকে, যা ইমপ্লান্টকে স্ট্যাটিক সনাক্তকরণ কৌশল এড়াতে সাহায্য করে।

কোড পূর্ববর্তী জাভাস্ক্রিপ্ট হুমকি পরিবারের সাথে ওভারল্যাপ করে

আরও বিশ্লেষণে দেখা যায় যে EtherRAT-এর এনক্রিপ্ট করা লোডারের কিছু অংশ BeaverTail-এর সাথে প্যাটার্ন শেয়ার করে, যা একটি পরিচিত জাভাস্ক্রিপ্ট-ভিত্তিক ডাউনলোডার এবং তথ্য চুরিকারী যা Contagious Interview অপারেশনে ব্যবহৃত হয়। এটি এই মূল্যায়নকে আরও জোরদার করে যে EtherRAT হয় সরাসরি উত্তরসূরী, অথবা সেই প্রচারণায় ব্যবহৃত টুলিংয়ের একটি সম্প্রসারণ।

রক্ষকদের জন্য প্রভাব: গোপনীয়তা এবং অধ্যবসায়ের দিকে একটি পরিবর্তন

EtherRAT React2Shell-এর ব্যবহারে একটি উল্লেখযোগ্য বিবর্তন প্রদর্শন করে। ক্রিপ্টোমাইনিং বা শংসাপত্র চুরির মতো সুবিধাবাদী কার্যকলাপের উপর কেবল মনোনিবেশ করার পরিবর্তে, এই ইমপ্লান্টটি গোপন, দীর্ঘমেয়াদী অ্যাক্সেসকে অগ্রাধিকার দেয়। স্মার্ট-কন্ট্রাক্ট-চালিত C2 অপারেশন, ঐক্যমত্য-ভিত্তিক এন্ডপয়েন্ট যাচাইকরণ, একাধিক স্থায়িত্ব স্তর এবং ক্রমাগত স্ব-অস্পষ্টতার মিশ্রণ রক্ষাকারীদের জন্য একটি গুরুতর চ্যালেঞ্জ তৈরি করে।

নিরাপত্তা দলের জন্য গুরুত্বপূর্ণ বিষয়গুলি

নিরাপত্তা দলগুলিকে মনে রাখা উচিত যে EtherRAT RSC শোষণের ক্ষেত্রে একটি উল্লেখযোগ্য বৃদ্ধির প্রতিনিধিত্ব করে, এটিকে দীর্ঘমেয়াদী অনুপ্রবেশ টিকিয়ে রাখতে সক্ষম একটি স্থায়ী এবং অত্যন্ত অভিযোজিত হুমকিতে রূপান্তরিত করে। এর কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো বিশেষভাবে স্থিতিস্থাপক, ইথেরিয়াম স্মার্ট চুক্তি এবং একটি বহু-এন্ডপয়েন্ট ঐক্যমত্য প্রক্রিয়া ব্যবহার করে যা সিঙ্কহোলিং প্রচেষ্টা, টেকডাউন এবং পৃথক এন্ডপয়েন্টের ম্যানিপুলেশন প্রতিরোধ করে। উপরন্তু, সংক্রামক ইন্টারভিউ প্রচারণার সাথে ম্যালওয়্যারের ঘনিষ্ঠ সম্পর্ক উচ্চ-মূল্যের বিকাশকারী লক্ষ্যবস্তুর উপর চলমান ফোকাসকে তুলে ধরে, ব্লকচেইন এবং Web3 ডেভেলপমেন্ট সম্প্রদায়ের মধ্যে উচ্চ সতর্কতার প্রয়োজনীয়তার উপর জোর দেয়।