Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota Programari maliciós EtherRAT

Programari maliciós EtherRAT

El Mezo el Eines d'administració remota, Amenaça persistent avançada (APT)
Traduir a:

Es creu que una campanya d'amenaces recentment descoberta vinculada a operadors nord-coreans està explotant la vulnerabilitat crítica de React2Shell (RSC) per implementar un troià d'accés remot mai vist fins ara conegut com a EtherRAT. Aquest programari maliciós destaca per incorporar contractes intel·ligents d'Ethereum al seu flux de treball de comandament i control (C2), instal·lar múltiples capes de persistència a Linux i incloure el seu propi temps d'execució Node.js durant el desplegament.

Enllaços a les operacions d'”entrevista contagiosa” en curs

Els equips de seguretat han identificat fortes similituds entre l'activitat d'EtherRAT i la campanya de llarga durada anomenada Contagious Interview, una sèrie d'atacs que ha estat activa des de principis del 2025 i utilitza la tècnica EtherHiding per a l'administració de programari maliciós.

Aquestes operacions solen tenir com a objectiu els desenvolupadors de blockchain i Web3 emmascarant intencions malicioses darrere d'entrevistes de treball, proves de codificació i avaluacions de vídeo fabricades. Les víctimes solen ser contactades a través de plataformes com LinkedIn, Upwork i Fiverr, on els atacants suplanten la identitat de reclutadors legítims que ofereixen oportunitats de treball d'alt valor.

Els investigadors assenyalen que aquest clúster d'amenaces s'ha convertit en una de les forces malicioses més productives dins de l'ecosistema npm, demostrant la seva habilitat per infiltrar-se en cadenes de subministrament basades en JavaScript i fluxos de treball centrats en criptografia.

La bretxa inicial: l’explotació de React2Shell

La seqüència d'atac comença amb l'explotació de la CVE-2025-55182, una vulnerabilitat crítica de l'RSC amb una puntuació de gravetat perfecta de 10. Aprofitant aquesta falla, els atacants executen una ordre codificada en Base64 que descarrega i activa un script de shell responsable d'iniciar la implantació principal de JavaScript.

L'script s'obté mitjançant curl, amb wget i python3 actuant com a mètodes de còpia de seguretat. Abans de llançar la càrrega útil principal, prepara el sistema adquirint Node.js v20.10.0 directament de nodejs.org, i després escriu tant un blob de dades xifrades com un dropper de JavaScript ocult al disc. Per limitar els rastres forenses, l'script es neteja després de si mateix un cop finalitzada la configuració i cedeix el control al dropper.

Lliurament d’EtherRAT: Xifratge, Execució i Contracte Intel·ligent C2

La funció principal del dropper és senzilla: desxifrar la càrrega útil d'EtherRAT mitjançant una clau codificada i llançar-la amb el binari Node.js acabat de descarregar.

La característica més destacada d'EtherRAT és la seva dependència d'EtherHiding, un mètode que recupera l'adreça del servidor C2 d'un contracte intel·ligent d'Ethereum cada cinc minuts. Això permet als operadors actualitzar la infraestructura sobre la marxa, fins i tot si els defensors interrompen els dominis existents.

Un gir únic en aquesta implementació és el seu sistema de votació basat en consens. EtherRAT consulta nou punts finals RPC públics d'Ethereum simultàniament, recopila els resultats i confia en l'URL C2 retornada per la majoria. Aquest enfocament neutralitza diverses estratègies defensives, garantint que un punt final RPC compromès o manipulat no pugui enganyar ni enfonsar la botnet.

Els investigadors ja havien detectat anteriorment una tècnica similar en paquets npm maliciosos colortoolsv2 i mimelib2, que s'utilitzaven per distribuir components de descàrrega als desenvolupadors.

Sondeig de comandes d’alta freqüència i persistència multicapa

Després d'establir la comunicació amb el seu servidor C2, EtherRAT entra en un cicle de sondeig ràpid que s'executa cada 500 mil·lisegons. Qualsevol resposta que superi els deu caràcters s'interpreta com a JavaScript i s'executa instantàniament al sistema compromès.

L'accés a llarg termini es manté mitjançant cinc tècniques de persistència, que augmenten la fiabilitat en diversos processos d'inici de Linux:

Mètodes de persistència:

  • Servei d'usuari de Systemd
  • Entrada d'inici automàtic de XDG
  • Treballs cron
  • Modificació de .bashrc
  • Injecció de perfils

En propagar-se per múltiples rutes d'execució, el programari maliciós continua executant-se fins i tot després de reiniciar-se, garantint un accés ininterromput per als operadors.

Capacitats d’autoactualització i estratègia d’ofuscació

EtherRAT inclou un procés d'actualització sofisticat: envia el seu propi codi font a un punt final de l'API, rep una versió modificada del servidor C2 i es rellança amb aquesta nova variant. Tot i que l'actualització és funcionalment idèntica, la càrrega útil retornada s'ofusca de manera diferent, cosa que ajuda l'implant a evadir les tècniques de detecció estàtica.

Superposició de codi amb famílies d’amenaces de JavaScript anteriors

Una anàlisi més detallada revela que parts del carregador xifrat d'EtherRAT comparteixen patrons amb BeaverTail, un conegut descarregador i lladre d'informació basat en JavaScript que s'utilitza en operacions d'entrevistes contagioses. Això reforça l'avaluació que EtherRAT és un successor directe o una extensió de les eines utilitzades en aquella campanya.

Implicacions per als defensors: un canvi cap a la furtivitat i la persistència

EtherRAT demostra una evolució significativa en l'explotació de React2Shell. En lloc de centrar-se únicament en activitats oportunistes com la criptomineria o el robatori de credencials, aquest implant prioritza l'accés furtiu a llarg termini. La seva combinació d'operacions C2 impulsades per contractes intel·ligents, verificació de punts finals basada en consens, múltiples capes de persistència i autoofuscació contínua planteja un seriós repte per als defensors.

Conclusions clau per als equips de seguretat

Els equips de seguretat haurien de tenir en compte que EtherRAT representa una escalada significativa en l'explotació de RSC, transformant-lo en una amenaça persistent i altament adaptable capaç de suportar intrusions a llarg termini. La seva infraestructura de comandament i control és particularment resistent, aprofitant els contractes intel·ligents d'Ethereum i un mecanisme de consens multi-endpoint per resistir els intents de sinkholing, les detencions i la manipulació d'endpoints individuals. A més, l'estreta associació del programari maliciós amb la campanya Contagious Interview destaca un enfocament continu en objectius de desenvolupadors d'alt valor, emfatitzant la necessitat d'una major vigilància dins de les comunitats de desenvolupament de blockchain i Web3.

Tendència

Més vist

Carregant...