EtherRAT-malware
En nyligt afsløret trusselskampagne med forbindelse til nordkoreanske operatører menes at udnytte den kritiske React2Shell (RSC) sårbarhed til at implementere en hidtil uset fjernadgangstrojan kendt som EtherRAT. Denne malware skiller sig ud ved at inkorporere Ethereum smart contracts i sin Command-and-Control (C2) workflow, installere flere persistenslag på Linux og bundte sin egen Node.js runtime under implementeringen.
Indholdsfortegnelse
Links til de igangværende 'smitsomme interview'-operationer
Sikkerhedsteams har identificeret stærke ligheder mellem EtherRAT-aktivitet og den langvarige kampagne, der kaldes Contagious Interview, en række angreb, der har været aktive siden begyndelsen af 2025 og bruger EtherHiding-teknikken til levering af malware.
Disse operationer er typisk rettet mod blockchain- og Web3-udviklere ved at maskere ondsindede intentioner bag opdigtede jobsamtaler, kodningstests og videovurderinger. Ofrene kontaktes normalt via platforme som LinkedIn, Upwork og Fiverr, hvor angribere udgiver sig for at være legitime rekrutterere, der tilbyder jobmuligheder af høj værdi.
Forskere bemærker, at denne trusselsklynge er blevet en af de mest produktive ondsindede kræfter inden for npm-økosystemet og demonstrerer dens evne til at infiltrere JavaScript-baserede forsyningskæder og kryptofokuserede arbejdsgange.
Det første brud: React2Shell-udnyttelse
Angrebssekvensen begynder med udnyttelsen af CVE-2025-55182, en kritisk RSC-sårbarhed med en perfekt alvorlighedsscore på 10. Ved hjælp af denne fejl udfører angriberne en Base64-kodet kommando, der downloader og udløser et shell-script, der er ansvarlig for at starte det primære JavaScript-implantat.
Scriptet hentes via curl, hvor wget og python3 fungerer som backupmetoder. Før den primære nyttelast startes, forbereder det systemet ved at hente Node.js v20.10.0 direkte fra nodejs.org og skriver derefter både en krypteret data-blob og en skjult JavaScript-dropper til disken. For at begrænse retsmedicinske spor rydder scriptet op efter sig selv, når opsætningen er færdig, og overdrager kontrollen til dropperen.
Levering af EtherRAT: Kryptering, udførelse og smart kontrakt C2
Dropperens kernefunktion er ligetil: dekrypter EtherRAT-nyttelasten ved hjælp af en hardcodet nøgle og start den med den nyligt downloadede Node.js-binære fil.
EtherRATs enestående funktion er dens afhængighed af EtherHiding, en metode der henter C2-serveradressen fra en Ethereum smart kontrakt hvert femte minut. Dette giver operatørerne mulighed for at opdatere infrastrukturen på farten, selvom forsvarere forstyrrer eksisterende domæner.
Et unikt twist i denne implementering er dens konsensusbaserede afstemningssystem. EtherRAT forespørger ni offentlige Ethereum RPC-slutpunkter samtidigt, indsamler resultaterne og stoler på den C2-URL, der returneres af flertallet. Denne tilgang neutraliserer adskillige defensive strategier og sikrer, at ét kompromitteret eller manipuleret RPC-slutpunkt ikke kan vildlede eller genere botnettet.
Forskere har tidligere observeret en lignende teknik i de ondsindede npm-pakker colortoolsv2 og mimelib2, som blev brugt til at distribuere downloader-komponenter til udviklere.
Højfrekvent kommandoafstemning og flerlagspersistens
Efter at have etableret kommunikation med sin C2-server, går EtherRAT ind i en hurtig pollingcyklus, der kører hvert 500 millisekund. Ethvert svar, der overstiger ti tegn, fortolkes som JavaScript og udføres øjeblikkeligt på det kompromitterede system.
Langtidsadgang opretholdes gennem fem persistensteknikker, der øger pålideligheden på tværs af forskellige Linux-opstartsprocesser:
Persistensmetoder:
- Systemd-brugertjeneste
- XDG autostart-indtastning
- Cron-job
- .bashrc-modifikation
- Profilinjektion
Ved at sprede sig på tværs af flere udførelsesstier fortsætter malwaren med at køre selv efter genstart, hvilket sikrer uafbrudt adgang for operatørerne.
Selvopdaterende funktioner og tilsløringsstrategi
EtherRAT inkluderer en sofistikeret opdateringsproces: den sender sin egen kildekode til et API-slutpunkt, modtager en modificeret version fra C2-serveren og genstarter sig selv med denne nye variant. Selvom opdateringen funktionelt er identisk, er den returnerede nyttelast forvirret forskelligt, hvilket hjælper implantatet med at undgå statiske detektionsteknikker.
Kodeoverlapninger med tidligere JavaScript-trusselsfamilier
Yderligere analyse afslører, at dele af EtherRATs krypterede loader deler mønstre med BeaverTail, en kendt JavaScript-baseret downloader og informationstyver, der bruges i Contagious Interview-operationer. Dette styrker vurderingen af, at EtherRAT enten er en direkte efterfølger eller en udvidelse af værktøjer, der blev brugt i den kampagne.
Implikationer for forsvarere: Et skift mod stealth og vedholdenhed
EtherRAT demonstrerer en betydelig udvikling i udnyttelsen af React2Shell. I stedet for udelukkende at fokusere på opportunistiske aktiviteter som kryptomining eller tyveri af legitimationsoplysninger, prioriterer dette implantat skjult, langsigtet adgang. Dets blanding af smart-kontrakt-drevne C2-operationer, konsensusbaseret endpoint-verifikation, flere persistenslag og kontinuerlig selvforsløring udgør en alvorlig udfordring for forsvarere.
Vigtige konklusioner for sikkerhedsteams
Sikkerhedsteams bør bemærke, at EtherRAT repræsenterer en betydelig eskalering i RSC-udnyttelse og omdanner den til en vedvarende og yderst tilpasningsdygtig trussel, der er i stand til at modstå langvarige indtrængen. Dens kommando- og kontrolinfrastruktur er særligt robust og udnytter Ethereum-smarte kontrakter og en multi-endpoint-konsensusmekanisme til at modstå forsøg på sinkholing, nedtagninger og manipulation af individuelle endpoints. Derudover fremhæver malwarens tætte forbindelse til Contagious Interview-kampagnen et løbende fokus på værdifulde udviklermål og understreger behovet for øget årvågenhed inden for blockchain- og Web3-udviklingsfællesskaber.
