EtherRATi pahavara
Hiljuti paljastatud Põhja-Korea operaatoritega seotud ohukampaania arvatakse ära kasutavat kriitilist React2Shelli (RSC) haavatavust, et juurutada seni nägemata kaugjuurdepääsu troojalast, mida tuntakse EtherRATina. See pahavara paistab silma selle poolest, et see integreerib Ethereumi nutikad lepingud oma Command-and-Control (C2) töövoogu, installib Linuxisse mitu püsivuskihti ja komplekteerib juurutamise ajal oma Node.js käituskeskkonna.
Sisukord
Lingid käimasolevatele „nakkavate intervjuude” operatsioonidele
Turvameeskonnad on tuvastanud tugevaid sarnasusi EtherRATi tegevuse ja pikaajalise kampaania Contagious Interview vahel. See on rünnakute seeria, mis on olnud aktiivne alates 2025. aasta algusest ja kasutab pahavara edastamiseks EtherHidingi tehnikat.
Need operatsioonid on tavaliselt suunatud plokiahela ja Web3 arendajatele, varjates pahatahtlikke kavatsusi väljamõeldud tööintervjuude, kodeerimistestide ja videohindamiste taha. Ohvritega võetakse tavaliselt ühendust selliste platvormide kaudu nagu LinkedIn, Upwork ja Fiverr, kus ründajad esinevad seaduslike värbajatena, kes pakuvad väärtuslikke töövõimalusi.
Teadlased märgivad, et sellest ohuklastrist on saanud NPM-ökosüsteemi üks produktiivsemaid pahatahtlikke jõude, mis näitab oma oskust tungida JavaScripti-põhistesse tarneahelatesse ja krüptovaluutadele keskendunud töövoogudesse.
Esialgne rikkumine: React2Shelli ärakasutamine
Rünnakujärjestus algab kriitilise RSC haavatavuse CVE-2025-55182 ärakasutamisega, mille täiuslik tõsidusskoor on 10. Seda viga kasutades käivitavad ründajad Base64-kodeeringuga käsu, mis laadib alla ja käivitab shelliskripti, mis vastutab peamise JavaScripti implantaadi initsieerimise eest.
Skript laaditakse curli kaudu, varumeetoditena toimivad wget ja python3. Enne põhikoormuse käivitamist valmistab see süsteemi ette, hankides Node.js v20.10.0 otse nodejs.org-ist ning kirjutab seejärel nii krüpteeritud andmeploki kui ka varjatud JavaScripti dropperi kettale. Kohtuekspertiisi jälgede piiramiseks puhastab skript pärast seadistamise lõppu enda järelt ja annab juhtimise üle dropperile.
EtherRATi tarnimine: krüptimine, täitmine ja nutikas leping C2
Dropperi põhifunktsioon on lihtne: dekrüpteerida EtherRAT-i kasulik fail kõvakodeeritud võtme abil ja käivitada see värskelt alla laaditud Node.js binaarfailiga.
EtherRATi silmapaistev omadus on selle tuginemine EtherHidingile – meetodile, mis hangib C2 serveri aadressi Ethereumi nutilepingust iga viie minuti järel. See võimaldab operaatoritel infrastruktuuri lennult uuendada, isegi kui kaitsjad häirivad olemasolevaid domeene.
Selle rakenduse ainulaadne omadus on konsensusel põhinev hääletussüsteem. EtherRAT pärib samaaegselt üheksat avalikku Ethereumi RPC lõpp-punkti, kogub tulemused ja usaldab enamuse tagastatud C2 URL-i. See lähenemisviis neutraliseerib mitu kaitsestrateegiat, tagades, et üks ohustatud või manipuleeritud RPC lõpp-punkt ei saa botnetti eksitada ega sellesse auku tungida.
Teadlased märkasid varem sarnast tehnikat pahatahtlikes npm-pakettides colortoolsv2 ja mimelib2, mida kasutati allalaadija komponentide levitamiseks arendajatele.
Kõrgsageduslik käskude küsitlus ja mitmekihiline püsivus
Pärast C2-serveriga ühenduse loomist alustab EtherRAT kiiret küsitlustsüklit, mis kestab iga 500 millisekundi järel. Iga vastus, mis on pikem kui kümme tähemärki, tõlgendatakse JavaScriptina ja käivitatakse ohustatud süsteemis koheselt.
Pikaajalist juurdepääsu säilitatakse viie püsivustehnika abil, mis suurendavad usaldusväärsust erinevates Linuxi käivitusprotsessides:
Püsivuse meetodid:
- Systemd kasutajateenus
- XDG automaatse käivitamise kirje
- Croni töökohad
- .bashrc modifikatsioon
- Profiili süstimine
Levides mitmel täitmisrajal, jätkab pahavara tööd ka pärast taaskäivitamist, tagades operaatoritele katkematu juurdepääsu.
Iseuuendusvõimalused ja hägustamise strateegia
EtherRAT sisaldab keerukat uuendusprotsessi: see saadab oma lähtekoodi API lõpp-punkti, võtab C2 serverilt vastu muudetud versiooni ja käivitab end selle uue variandiga uuesti. Kuigi uuendus on funktsionaalselt identne, on tagastatud koormus erinevalt hägustatud, aidates implantaadil staatilisi tuvastustehnikaid vältida.
Kood kattub varasemate JavaScripti ohtude perekondadega
Edasine analüüs näitab, et osad EtherRATi krüpteeritud laadurist jagavad mustreid BeaverTailiga, mis on tuntud JavaScripti-põhine allalaadija ja teabe varastaja, mida kasutatakse nakkuslike intervjuude operatsioonides. See kinnitab hinnangut, et EtherRAT on kas otsene järglane või selles kampaanias kasutatud tööriistade laiendus.
Kaitsjate jaoks: nihe varjatuse ja püsivuse poole
EtherRAT näitab React2Shelli ärakasutamises märkimisväärset arengut. Selle asemel, et keskenduda ainult oportunistlikele tegevustele, nagu krüptokaevandamine või volituste vargus, seab see implantaat esikohale varjatud ja pikaajalise juurdepääsu. Selle nutikate lepingutepõhiste C2-toimingute, konsensusepõhise lõpp-punktide kontrollimise, mitme püsivuskihi ja pideva enesehäbistamise kombinatsioon esitab kaitsjatele tõsise väljakutse.
Turvameeskondade peamised järeldused
Turvameeskonnad peaksid arvestama, et EtherRAT kujutab endast RSC ärakasutamise olulist eskaleerumist, muutes selle püsivaks ja väga kohanemisvõimeliseks ohuks, mis on võimeline taluma pikaajalisi sissetunge. Selle juhtimis- ja kontrollitaristu on eriti vastupidav, kasutades Ethereumi nutikaid lepinguid ja mitme lõpp-punkti konsensusmehhanismi, et taluda sissemurdmiskatseid, mahavõtmisi ja üksikute lõpp-punktide manipuleerimist. Lisaks rõhutab pahavara tihe seos nakkava intervjuu kampaaniaga jätkuvat keskendumist väärtuslikele arendajatele, rõhutades vajadust suurenenud valvsuse järele plokiahela ja Web3 arenduskogukondades.
