EtherRat मैलवेयर

उत्तर कोरियाई ऑपरेटरों से जुड़े एक हालिया खतरे के अभियान का पता चला है, जिसके बारे में माना जाता है कि यह रिएक्ट2शेल (RSC) की गंभीर भेद्यता का फायदा उठाकर एथरआरएटी नामक एक अभूतपूर्व रिमोट एक्सेस ट्रोजन को तैनात कर रहा है। यह मैलवेयर अपने कमांड-एंड-कंट्रोल (C2) वर्कफ़्लो में एथेरियम स्मार्ट कॉन्ट्रैक्ट्स को शामिल करने, लिनक्स पर कई परसिस्टेंस लेयर्स स्थापित करने और तैनाती के दौरान अपने स्वयं के नोड.जेएस रनटाइम को बंडल करने के लिए जाना जाता है।

चल रहे 'संक्रामक साक्षात्कार' अभियान के लिंक

सुरक्षा टीमों ने ईथरआरएटी गतिविधि और कॉन्टेजियस इंटरव्यू नामक लंबे समय से चल रहे अभियान के बीच मजबूत समानताएं पाई हैं, जो हमलों की एक श्रृंखला है जो 2025 की शुरुआत से सक्रिय है और मैलवेयर पहुंचाने के लिए ईथरहाइडिंग तकनीक का उपयोग करती है।

ये अभियान आम तौर पर ब्लॉकचेन और वेब3 डेवलपर्स को निशाना बनाते हैं, और फर्जी नौकरी के इंटरव्यू, कोडिंग टेस्ट और वीडियो मूल्यांकन के पीछे अपने दुर्भावनापूर्ण इरादों को छुपाते हैं। पीड़ितों से आमतौर पर लिंक्डइन, अपवर्क और फाइवर जैसे प्लेटफॉर्म के माध्यम से संपर्क किया जाता है, जहां हमलावर वैध भर्तीकर्ताओं का रूप धारण करके उच्च-मूल्य वाली रोजगार के अवसर प्रदान करते हैं।

शोधकर्ताओं का कहना है कि यह खतरा समूह एनपीएम इकोसिस्टम के भीतर सबसे अधिक उत्पादक दुर्भावनापूर्ण ताकतों में से एक बन गया है, जो जावास्क्रिप्ट-आधारित आपूर्ति श्रृंखलाओं और क्रिप्टो-केंद्रित वर्कफ़्लो में घुसपैठ करने में अपनी दक्षता का प्रदर्शन करता है।

प्रारंभिक उल्लंघन: React2Shell का शोषण

हमले की शुरुआत CVE-2025-55182 के शोषण से होती है, जो 10 के पूर्ण गंभीरता स्कोर वाली एक गंभीर RSC भेद्यता है। इस खामी का उपयोग करके, हमलावर एक Base64-एन्कोडेड कमांड को निष्पादित करते हैं जो प्राथमिक जावास्क्रिप्ट इम्प्लांट को शुरू करने के लिए जिम्मेदार एक शेल स्क्रिप्ट को डाउनलोड और ट्रिगर करता है।

स्क्रिप्ट को कर्ल के ज़रिए फ़ेच किया जाता है, जबकि wget और python3 बैकअप तरीकों के रूप में काम करते हैं। मुख्य पेलोड लॉन्च करने से पहले, यह nodejs.org से सीधे Node.js v20.10.0 प्राप्त करके सिस्टम को तैयार करता है, फिर एक एन्क्रिप्टेड डेटा ब्लॉब और एक छिपा हुआ जावास्क्रिप्ट ड्रॉपर डिस्क पर लिखता है। फ़ोरेंसिक सबूतों को सीमित करने के लिए, सेटअप पूरा होने के बाद स्क्रिप्ट स्वयं को साफ़ कर देती है और नियंत्रण ड्रॉपर को सौंप देती है।

EtherRAT की डिलीवरी: एन्क्रिप्शन, निष्पादन और स्मार्ट कॉन्ट्रैक्ट C2

ड्रॉपर का मुख्य कार्य सीधा-सादा है: हार्ड-कोडेड कुंजी का उपयोग करके EtherRAT पेलोड को डिक्रिप्ट करना और इसे नए डाउनलोड किए गए Node.js बाइनरी के साथ लॉन्च करना।

EtherRAT की सबसे खास विशेषता EtherHiding पर इसकी निर्भरता है, जो हर पांच मिनट में एथेरियम स्मार्ट कॉन्ट्रैक्ट से C2 सर्वर एड्रेस प्राप्त करने की विधि है। इससे ऑपरेटरों को मौजूदा डोमेन में बाधा उत्पन्न होने पर भी, इंफ्रास्ट्रक्चर को तुरंत अपडेट करने की सुविधा मिलती है।

इस कार्यान्वयन की एक अनूठी विशेषता इसकी सर्वसम्मति-आधारित मतदान प्रणाली है। EtherRAT एक साथ नौ सार्वजनिक Ethereum RPC एंडपॉइंट्स से क्वेरी करता है, परिणाम एकत्र करता है, और बहुमत द्वारा लौटाए गए C2 URL पर भरोसा करता है। यह दृष्टिकोण कई रक्षात्मक रणनीतियों को निष्क्रिय कर देता है, यह सुनिश्चित करते हुए कि एक समझौता किया गया या हेरफेर किया गया RPC एंडपॉइंट बॉटनेट को गुमराह या नष्ट नहीं कर सकता।

शोधकर्ताओं ने इससे पहले दुर्भावनापूर्ण एनपीएम पैकेज colortoolsv2 और mimelib2 में इसी तरह की तकनीक का पता लगाया था, जिनका उपयोग डेवलपर्स को डाउनलोडर घटक वितरित करने के लिए किया जाता था।

उच्च आवृत्ति कमांड पोलिंग और बहु-स्तरीय दृढ़ता

अपने C2 सर्वर से संचार स्थापित करने के बाद, EtherRAT हर 500 मिलीसेकंड में चलने वाले तीव्र पोलिंग चक्र में प्रवेश करता है। दस अक्षरों से अधिक की किसी भी प्रतिक्रिया को जावास्क्रिप्ट के रूप में समझा जाता है और प्रभावित सिस्टम पर तुरंत निष्पादित किया जाता है।

पांच निरंतरता तकनीकों के माध्यम से दीर्घकालिक पहुंच बनाए रखी जाती है, जिससे विभिन्न लिनक्स स्टार्टअप प्रक्रियाओं में विश्वसनीयता बढ़ती है:

निरंतरता के तरीके:

• Systemd उपयोगकर्ता सेवा
• XDG ऑटोस्टार्ट प्रविष्टि
• क्रॉन जॉब्स
• .bashrc में संशोधन
• प्रोफ़ाइल इंजेक्शन

कई निष्पादन मार्गों में फैलकर, मैलवेयर रीबूट के बाद भी चलता रहता है, जिससे ऑपरेटरों के लिए निर्बाध पहुंच सुनिश्चित होती है।

स्व-अद्यतन क्षमताएं और अस्पष्टीकरण रणनीति

EtherRAT में एक परिष्कृत अपडेट प्रक्रिया शामिल है: यह अपना सोर्स कोड एक API एंडपॉइंट पर भेजता है, C2 सर्वर से एक संशोधित संस्करण प्राप्त करता है, और इस नए संस्करण के साथ खुद को पुनः लॉन्च करता है। हालांकि अपडेट कार्यात्मक रूप से समान है, लेकिन लौटाया गया पेलोड अलग तरीके से अस्पष्ट किया जाता है, जिससे इम्प्लांट स्थिर पहचान तकनीकों से बचने में सक्षम होता है।

यह कोड पिछले जावास्क्रिप्ट खतरे के परिवारों के साथ ओवरलैप करता है।

आगे के विश्लेषण से पता चलता है कि EtherRAT के एन्क्रिप्टेड लोडर के कुछ हिस्से BeaverTail से मिलते-जुलते पैटर्न साझा करते हैं, जो Contagious Interview अभियानों में इस्तेमाल किया जाने वाला एक जाना-माना जावास्क्रिप्ट-आधारित डाउनलोडर और सूचना चुराने वाला टूल है। इससे यह आकलन पुष्ट होता है कि EtherRAT या तो उस अभियान में इस्तेमाल किए गए टूल का सीधा उत्तराधिकारी है या उसका विस्तार है।

रक्षकों के लिए निहितार्थ: गुप्तता और दृढ़ता की ओर बदलाव

EtherRAT, React2Shell के शोषण में एक महत्वपूर्ण विकास को दर्शाता है। क्रिप्टोकॉइनिंग या क्रेडेंशियल चोरी जैसी अवसरवादी गतिविधियों पर ध्यान केंद्रित करने के बजाय, यह इम्प्लांट गुप्त और दीर्घकालिक पहुंच को प्राथमिकता देता है। स्मार्ट-कॉन्ट्रैक्ट-आधारित C2 संचालन, सहमति-आधारित एंडपॉइंट सत्यापन, कई परसिस्टेंस लेयर्स और निरंतर स्व-ऑबफस्केशन का इसका मिश्रण रक्षकों के लिए एक गंभीर चुनौती पेश करता है।

सुरक्षा टीमों के लिए मुख्य निष्कर्ष

सुरक्षा टीमों को यह ध्यान रखना चाहिए कि EtherRAT, RSC के दुरुपयोग में एक महत्वपूर्ण वृद्धि का प्रतिनिधित्व करता है, जो इसे एक निरंतर और अत्यधिक अनुकूलनीय खतरे में बदल देता है जो दीर्घकालिक घुसपैठ को बनाए रखने में सक्षम है। इसका कमांड-एंड-कंट्रोल ढांचा विशेष रूप से मजबूत है, जो सिंकहोलिंग प्रयासों, हमलों और व्यक्तिगत एंडपॉइंट्स के हेरफेर का सामना करने के लिए एथेरियम स्मार्ट कॉन्ट्रैक्ट्स और एक मल्टी-एंडपॉइंट सहमति तंत्र का लाभ उठाता है। इसके अतिरिक्त, मैलवेयर का कॉन्टेजियस इंटरव्यू अभियान के साथ घनिष्ठ संबंध उच्च-मूल्य वाले डेवलपर लक्ष्यों पर निरंतर ध्यान केंद्रित करने को उजागर करता है, जो ब्लॉकचेन और वेब3 विकास समुदायों के भीतर बढ़ी हुई सतर्कता की आवश्यकता पर बल देता है।