Malware EtherRAT
Si ritiene che una campagna di minacce informatiche recentemente scoperta e collegata ad operatori nordcoreani stia sfruttando la vulnerabilità critica di React2Shell (RSC) per distribuire un trojan di accesso remoto mai visto prima, noto come EtherRAT. Questo malware si distingue per l'integrazione di smart contract Ethereum nel suo flusso di lavoro di Comando e Controllo (C2), l'installazione di più livelli di persistenza su Linux e il raggruppamento del proprio runtime Node.js durante la distribuzione.
Sommario
Link alle operazioni in corso di “Intervista Contagiosa”
I team di sicurezza hanno individuato forti somiglianze tra l'attività di EtherRAT e la campagna di lunga data denominata Contagious Interview, una serie di attacchi attivi dall'inizio del 2025 che utilizza la tecnica EtherHiding per la distribuzione di malware.
Queste operazioni prendono di mira in genere gli sviluppatori di blockchain e Web3, mascherando intenzioni malevole dietro colloqui di lavoro, test di programmazione e valutazioni video falsificati. Le vittime vengono solitamente contattate tramite piattaforme come LinkedIn, Upwork e Fiverr, dove gli aggressori si spacciano per reclutatori legittimi che offrono opportunità di lavoro di alto valore.
I ricercatori sottolineano che questo cluster di minacce è diventato una delle forze dannose più produttive all'interno dell'ecosistema npm, dimostrando la sua abilità nell'infiltrarsi nelle supply chain basate su JavaScript e nei flussi di lavoro incentrati sulla crittografia.
La violazione iniziale: sfruttamento di React2Shell
La sequenza di attacco inizia con lo sfruttamento di CVE-2025-55182, una vulnerabilità RSC critica con un punteggio di gravità perfetto pari a 10. Sfruttando questa falla, gli aggressori eseguono un comando codificato in Base64 che scarica e attiva uno script shell responsabile dell'avvio dell'impianto JavaScript primario.
Lo script viene recuperato tramite curl, con wget e python3 che fungono da metodi di backup. Prima di avviare il payload principale, prepara il sistema acquisendo Node.js v20.10.0 direttamente da nodejs.org, quindi scrive su disco sia un blob di dati crittografato che un dropper JavaScript oscurato. Per limitare le tracce forensi, lo script esegue una pulizia automatica una volta completata la configurazione e passa il controllo al dropper.
Fornitura di EtherRAT: crittografia, esecuzione e contratto intelligente C2
La funzione principale del dropper è semplice: decifrare il payload EtherRAT utilizzando una chiave hard-coded e avviarlo con il binario Node.js appena scaricato.
La caratteristica distintiva di EtherRAT è il suo utilizzo di EtherHiding, un metodo che recupera l'indirizzo del server C2 da uno smart contract Ethereum ogni cinque minuti. Ciò consente agli operatori di aggiornare l'infrastruttura al volo, anche se i difensori interrompono i domini esistenti.
Una novità unica di questa implementazione è il suo sistema di voto basato sul consenso. EtherRAT interroga simultaneamente nove endpoint RPC pubblici di Ethereum, raccoglie i risultati e si fida dell'URL C2 restituito dalla maggioranza. Questo approccio neutralizza diverse strategie difensive, garantendo che un endpoint RPC compromesso o manipolato non possa fuorviare o compromettere la botnet.
In precedenza, i ricercatori avevano individuato una tecnica simile nei pacchetti npm dannosi colortoolsv2 e mimelib2, utilizzati per distribuire componenti downloader agli sviluppatori.
Polling dei comandi ad alta frequenza e persistenza multistrato
Dopo aver stabilito la comunicazione con il suo server C2, EtherRAT avvia un ciclo di polling rapido ogni 500 millisecondi. Qualsiasi risposta che superi i dieci caratteri viene interpretata come codice JavaScript ed eseguita immediatamente sul sistema compromesso.
L'accesso a lungo termine viene mantenuto tramite cinque tecniche di persistenza, aumentando l'affidabilità nei vari processi di avvio di Linux:
Metodi di persistenza:
- Servizio utente Systemd
- Voce di avvio automatico XDG
- Cron job
- modifica .bashrc
- Iniezione di profilo
Diffondendosi su più percorsi di esecuzione, il malware continua a funzionare anche dopo i riavvii, garantendo agli operatori un accesso ininterrotto.
Capacità di autoaggiornamento e strategia di offuscamento
EtherRAT include un sofisticato processo di aggiornamento: invia il proprio codice sorgente a un endpoint API, riceve una versione modificata dal server C2 e si riavvia con questa nuova variante. Sebbene l'aggiornamento sia funzionalmente identico, il payload restituito è offuscato in modo diverso, aiutando l'impianto a eludere le tecniche di rilevamento statico.
Il codice si sovrappone alle precedenti famiglie di minacce JavaScript
Ulteriori analisi rivelano che parti del loader crittografato di EtherRAT condividono pattern con BeaverTail, un noto downloader e ladro di informazioni basato su JavaScript utilizzato nelle operazioni di Contagious Interview. Ciò rafforza la valutazione che EtherRAT sia un successore diretto o un'estensione degli strumenti utilizzati in quella campagna.
Implicazioni per i difensori: uno spostamento verso la furtività e la persistenza
EtherRAT rappresenta un'evoluzione significativa nello sfruttamento di React2Shell. Invece di concentrarsi esclusivamente su attività opportunistiche come il cryptomining o il furto di credenziali, questo sistema privilegia l'accesso furtivo e a lungo termine. La sua combinazione di operazioni C2 basate su smart contract, verifica degli endpoint basata sul consenso, molteplici livelli di persistenza e auto-offuscamento continuo rappresenta una seria sfida per i difensori.
Punti chiave per i team di sicurezza
I team di sicurezza devono tenere presente che EtherRAT rappresenta una significativa escalation nello sfruttamento di RSC, trasformandolo in una minaccia persistente e altamente adattabile, in grado di sostenere intrusioni a lungo termine. La sua infrastruttura di comando e controllo è particolarmente resiliente, sfruttando gli smart contract di Ethereum e un meccanismo di consenso multi-endpoint per resistere a tentativi di sinkholing, takedown e manipolazione di singoli endpoint. Inoltre, la stretta associazione del malware con la campagna Contagious Interview evidenzia un'attenzione costante verso obiettivi di sviluppatori di alto valore, sottolineando la necessità di una maggiore vigilanza all'interno delle comunità di sviluppo blockchain e Web3.
