Perisian Hasad EtherRAT

Satu kempen ancaman yang baru-baru ini didedahkan yang dikaitkan dengan pengendali Korea Utara dipercayai mengeksploitasi kerentanan kritikal React2Shell (RSC) untuk menggunakan trojan akses jauh yang sebelum ini tidak kelihatan yang dikenali sebagai EtherRAT. Perisian hasad ini menonjol kerana menggabungkan kontrak pintar Ethereum ke dalam aliran kerja Perintah dan Kawalan (C2), memasang berbilang lapisan kegigihan pada Linux dan menggabungkan masa jalan Node.jsnya sendiri semasa penggunaan.

Pautan ke Operasi 'Temuduga Berjangkit' yang Berterusan

Pasukan keselamatan telah mengenal pasti persamaan yang ketara antara aktiviti EtherRAT dan kempen jangka panjang yang dirujuk sebagai Contagious Interview, satu siri serangan yang telah aktif sejak awal tahun 2025 dan menggunakan teknik EtherHiding untuk penghantaran perisian hasad.

Operasi ini biasanya menyasarkan pembangun blockchain dan Web3 dengan menyembunyikan niat jahat di sebalik temu duga kerja, ujian pengekodan dan penilaian video yang direka-reka. Mangsa biasanya dihubungi melalui platform seperti LinkedIn, Upwork dan Fiverr, di mana penyerang menyamar sebagai perekrut sah yang menawarkan peluang pekerjaan bernilai tinggi.

Para penyelidik menyatakan bahawa kluster ancaman ini telah menjadi salah satu kuasa jahat yang paling produktif dalam ekosistem npm, menunjukkan kemahirannya dalam menyusup masuk ke dalam rantaian bekalan berasaskan JavaScript dan aliran kerja yang berfokus pada kripto.

Pelanggaran Awal: Eksploitasi React2Shell

Urutan serangan bermula dengan eksploitasi CVE‑2025‑55182, satu kerentanan RSC kritikal dengan skor keterukan sempurna 10. Menggunakan kelemahan ini, penyerang melaksanakan arahan yang dikodkan Base64 yang memuat turun dan mencetuskan skrip shell yang bertanggungjawab untuk memulakan implan JavaScript utama.

Skrip diambil melalui curl, dengan wget dan python3 bertindak sebagai kaedah sandaran. Sebelum melancarkan muatan utama, ia menyediakan sistem dengan memperoleh Node.js v20.10.0 terus daripada nodejs.org, kemudian menulis kedua-dua gumpalan data yang disulitkan dan penitis JavaScript yang dikaburkan ke cakera. Untuk mengehadkan jejak forensik, skrip membersihkan dirinya sendiri setelah persediaan selesai dan menyerahkan kawalan kepada penitis.

Penghantaran EtherRAT: Penyulitan, Pelaksanaan dan Kontrak Pintar C2

Fungsi teras penitis adalah mudah: nyahsulit muatan EtherRAT menggunakan kunci berkod keras dan lancarkannya dengan binari Node.js yang baru dimuat turun.

Ciri EtherRAT yang menonjol ialah pergantungannya pada EtherHiding, satu kaedah yang mendapatkan alamat pelayan C2 daripada kontrak pintar Ethereum setiap lima minit. Ini membolehkan pengendali mengemas kini infrastruktur dengan pantas, walaupun pembela mengganggu domain sedia ada.

Satu kelainan unik dalam pelaksanaan ini ialah sistem pengundian berasaskan konsensus. EtherRAT menanyakan sembilan titik akhir RPC Ethereum awam secara serentak, mengumpul keputusan dan mempercayai URL C2 yang dikembalikan oleh majoriti. Pendekatan ini meneutralkan beberapa strategi pertahanan, memastikan bahawa satu titik akhir RPC yang dikompromi atau dimanipulasi tidak dapat mengelirukan atau menenggelamkan botnet.

Penyelidik sebelum ini telah menemui teknik yang serupa dalam pakej npm berniat jahat colortoolsv2 dan mimelib2, yang digunakan untuk mengedarkan komponen pemuat turun kepada pembangun.

Pengundian Perintah Frekuensi Tinggi dan Kegigihan Berbilang Lapisan

Selepas mewujudkan komunikasi dengan pelayan C2nya, EtherRAT memasuki kitaran tinjauan pantas yang berjalan setiap 500 milisaat. Sebarang respons yang melebihi sepuluh aksara ditafsirkan sebagai JavaScript dan dilaksanakan serta-merta pada sistem yang diceroboh.

Akses jangka panjang dikekalkan melalui lima teknik kegigihan, yang mendorong kebolehpercayaan merentasi pelbagai proses permulaan Linux:

Kaedah Kegigihan:

• Perkhidmatan pengguna sistem
• Entri mula automatik XDG
• Pekerjaan Cron
• pengubahsuaian .bashrc
• Suntikan profil

Dengan merebak merentasi pelbagai laluan pelaksanaan, perisian hasad terus berjalan walaupun selepas but semula, memastikan akses tanpa gangguan untuk pengendali.

Keupayaan Mengemas Kini Kendiri dan Strategi Kekeliruan

EtherRAT merangkumi proses kemas kini yang canggih: ia menghantar kod sumbernya sendiri ke titik akhir API, menerima versi yang diubah suai daripada pelayan C2 dan melancarkan semula dirinya dengan varian baharu ini. Walaupun kemas kini berfungsi sama, muatan yang dikembalikan dikaburkan secara berbeza, membantu implan mengelakkan teknik pengesanan statik.

Kod Bertindih Dengan Keluarga Ancaman JavaScript Sebelumnya

Analisis lanjut mendedahkan bahawa sebahagian daripada pemuat yang disulitkan EtherRAT berkongsi corak dengan BeaverTail, pemuat turun berasaskan JavaScript dan pencuri maklumat yang dikenali yang digunakan dalam operasi Contagious Interview. Ini mengukuhkan penilaian bahawa EtherRAT sama ada pengganti langsung atau lanjutan perkakasan yang digunakan dalam kempen tersebut.

Implikasi untuk Pembela: Peralihan Ke Arah Kerahsiaan dan Kegigihan

EtherRAT menunjukkan evolusi yang ketara dalam eksploitasi React2Shell. Daripada menumpukan perhatian semata-mata pada aktiviti oportunis seperti perlombongan kripto atau kecurian kelayakan, implan ini mengutamakan akses jangka panjang yang tersembunyi. Gabungan operasi C2 yang dipacu kontrak pintar, pengesahan titik akhir berasaskan konsensus, pelbagai lapisan ketekunan dan pengaburan kendiri yang berterusan menimbulkan cabaran serius bagi pembela.

Perkara Penting untuk Pasukan Keselamatan

Pasukan keselamatan harus ambil perhatian bahawa EtherRAT mewakili peningkatan ketara dalam eksploitasi RSC, mengubahnya menjadi ancaman yang berterusan dan sangat mudah disesuaikan yang mampu mengekalkan pencerobohan jangka panjang. Infrastruktur arahan dan kawalannya amat berdaya tahan, memanfaatkan kontrak pintar Ethereum dan mekanisme konsensus berbilang titik akhir untuk menahan percubaan sinkholing, penghapusan dan manipulasi titik akhir individu. Di samping itu, kaitan rapat perisian hasad dengan kempen Contagious Interview menonjolkan tumpuan berterusan pada sasaran pembangun bernilai tinggi, menekankan keperluan untuk meningkatkan kewaspadaan dalam komuniti pembangunan blockchain dan Web3.