EtherRat मालवेयर

उत्तर कोरियाली अपरेटरहरूसँग जोडिएको हालै पत्ता लागेको खतरा अभियानले EtherRAT भनेर चिनिने पहिले नदेखिने रिमोट एक्सेस ट्रोजनलाई तैनाथ गर्न महत्वपूर्ण React2Shell (RSC) जोखिमको शोषण गरिरहेको विश्वास गरिन्छ। यो मालवेयरले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) कार्यप्रवाहमा Ethereum स्मार्ट अनुबंधहरू समावेश गर्ने, Linux मा धेरै पर्सिस्टन्स तहहरू स्थापना गर्ने, र तैनाथीको समयमा आफ्नै Node.js रनटाइम बन्डल गर्ने काम गर्दछ।

चलिरहेको 'संक्रामक अन्तर्वार्ता' सञ्चालनका लिङ्कहरू

सुरक्षा टोलीहरूले EtherRAT गतिविधि र लामो समयदेखि चलिरहेको अभियान जसलाई Contagious Interview भनिन्छ, बीच बलियो समानताहरू पहिचान गरेका छन्, जुन २०२५ को सुरुदेखि सक्रिय आक्रमणहरूको श्रृंखला हो र मालवेयर डेलिभरीको लागि EtherHiding प्रविधि प्रयोग गर्दछ।

यी अपरेसनहरूले सामान्यतया ब्लकचेन र वेब३ विकासकर्ताहरूलाई लक्षित गर्छन्, बनावटी जागिर अन्तर्वार्ता, कोडिङ परीक्षण, र भिडियो मूल्याङ्कन पछाडिको दुर्भावनापूर्ण मनसाय लुकाएर। पीडितहरूलाई सामान्यतया LinkedIn, Upwork, र Fiverr जस्ता प्लेटफर्महरू मार्फत सम्पर्क गरिन्छ, जहाँ आक्रमणकारीहरूले उच्च-मूल्यवान रोजगारी अवसरहरू प्रदान गर्ने वैध भर्तीकर्ताहरूको नक्कल गर्छन्।

अनुसन्धानकर्ताहरूले नोट गर्छन् कि यो खतरा समूह npm इकोसिस्टम भित्र सबैभन्दा उत्पादक दुर्भावनापूर्ण शक्तिहरू मध्ये एक बनेको छ, जसले जाभास्क्रिप्ट-आधारित आपूर्ति श्रृंखलाहरू र क्रिप्टो-केन्द्रित कार्यप्रवाहहरूमा घुसपैठ गर्ने आफ्नो सीप प्रदर्शन गर्दछ।

प्रारम्भिक उल्लंघन: React2Shell शोषण

आक्रमणको क्रम CVE-2025-55182 को शोषणबाट सुरु हुन्छ, जुन १० को पूर्ण गम्भीरता स्कोरको साथ एक महत्वपूर्ण RSC जोखिम हो। यो त्रुटि प्रयोग गरेर, आक्रमणकारीहरूले Base64-इनकोडेड आदेश कार्यान्वयन गर्छन् जसले प्राथमिक जाभास्क्रिप्ट इम्प्लान्ट सुरु गर्न जिम्मेवार शेल स्क्रिप्ट डाउनलोड र ट्रिगर गर्दछ।

स्क्रिप्ट कर्ल मार्फत प्राप्त गरिन्छ, जसमा wget र python3 ले ब्याकअप विधिको रूपमा काम गर्दछ। मुख्य पेलोड सुरु गर्नु अघि, यसले nodejs.org बाट सिधै Node.js v20.10.0 प्राप्त गरेर प्रणाली तयार गर्दछ, त्यसपछि डिस्कमा एन्क्रिप्टेड डेटा ब्लब र अस्पष्ट JavaScript ड्रपर दुवै लेख्छ। फोरेन्सिक ट्रेसहरू सीमित गर्न, सेटअप पूरा भएपछि स्क्रिप्ट आफैं सफा हुन्छ र ड्रपरलाई नियन्त्रण हस्तान्तरण गर्दछ।

EtherRAT को डेलिभरी: इन्क्रिप्शन, कार्यान्वयन, र स्मार्ट अनुबंध C2

ड्रपरको मुख्य कार्य सीधा छ: हार्ड-कोड गरिएको कुञ्जी प्रयोग गरेर EtherRAT पेलोडलाई डिक्रिप्ट गर्नुहोस् र भर्खरै डाउनलोड गरिएको Node.js बाइनरीको साथ सुरु गर्नुहोस्।

EtherRAT को उत्कृष्ट विशेषता भनेको EtherHiding मा यसको निर्भरता हो, यो एक विधि हो जसले प्रत्येक पाँच मिनेटमा Ethereum स्मार्ट अनुबंधबाट C2 सर्भर ठेगाना पुन: प्राप्त गर्दछ। यसले अपरेटरहरूलाई उडानमा पूर्वाधार अद्यावधिक गर्न अनुमति दिन्छ, यदि डिफेन्डरहरूले अवस्थित डोमेनहरूमा बाधा पुर्‍याउँछन् भने पनि।

यस कार्यान्वयनमा एउटा अनौठो मोड यसको सहमतिमा आधारित मतदान प्रणाली हो। EtherRAT ले एकैसाथ नौ सार्वजनिक Ethereum RPC अन्त्य बिन्दुहरू सोध्छ, परिणामहरू सङ्कलन गर्छ, र बहुमतद्वारा फिर्ता गरिएको C2 URL लाई विश्वास गर्छ। यो दृष्टिकोणले धेरै रक्षात्मक रणनीतिहरूलाई बेअसर गर्छ, यो सुनिश्चित गर्दै कि एउटा सम्झौता गरिएको वा हेरफेर गरिएको RPC अन्त्य बिन्दुले बोटनेटलाई भ्रमित वा डुबाउन सक्दैन।

अनुसन्धानकर्ताहरूले पहिले नै दुर्भावनापूर्ण npm प्याकेजहरू colortoolsv2 र mimelib2 मा यस्तै प्रविधि देखेका थिए, जुन विकासकर्ताहरूलाई डाउनलोडर कम्पोनेन्टहरू वितरण गर्न प्रयोग गरिएको थियो।

उच्च आवृत्ति कमाण्ड मतदान र बहु-तह दृढता

यसको C2 सर्भरसँग सञ्चार स्थापित गरेपछि, EtherRAT ले प्रत्येक ५०० मिलिसेकेन्डमा चल्ने द्रुत मतदान चक्रमा प्रवेश गर्छ। दस वर्ण भन्दा बढीको कुनै पनि प्रतिक्रियालाई जाभास्क्रिप्टको रूपमा व्याख्या गरिन्छ र सम्झौता गरिएको प्रणालीमा तुरुन्तै कार्यान्वयन गरिन्छ।

विभिन्न लिनक्स स्टार्टअप प्रक्रियाहरूमा विश्वसनीयतालाई बढाउँदै, पाँच दृढता प्रविधिहरू मार्फत दीर्घकालीन पहुँच कायम राखिन्छ:

दृढता विधिहरू:

• प्रणालीगत प्रयोगकर्ता सेवा
• XDG स्वतः सुरु प्रविष्टि
• क्रोन जागिरहरू
• .bashrc परिमार्जन
• प्रोफाइल इन्जेक्सन

धेरै कार्यान्वयन मार्गहरूमा फैलिएर, मालवेयर रिबुट पछि पनि चलिरहन्छ, अपरेटरहरूको लागि निर्बाध पहुँच सुनिश्चित गर्दै।

स्व-अद्यावधिक क्षमताहरू र अस्पष्टता रणनीति

EtherRAT मा एक परिष्कृत अपडेट प्रक्रिया समावेश छ: यसले API अन्त्य बिन्दुमा आफ्नै स्रोत कोड पठाउँछ, C2 सर्भरबाट परिमार्जित संस्करण प्राप्त गर्दछ, र यो नयाँ संस्करणको साथ पुन: लन्च गर्दछ। यद्यपि अपडेट कार्यात्मक रूपमा समान छ, फिर्ता गरिएको पेलोड फरक तरिकाले अस्पष्ट छ, इम्प्लान्टलाई स्थिर पत्ता लगाउने प्रविधिहरूबाट बच्न मद्दत गर्दछ।

कोड अघिल्लो जाभास्क्रिप्ट खतरा परिवारहरूसँग ओभरल्याप हुन्छ

थप विश्लेषणले EtherRAT को एन्क्रिप्टेड लोडरका केही भागहरूले BeaverTail सँग ढाँचाहरू साझा गर्ने कुरा प्रकट गर्दछ, जुन एक ज्ञात JavaScript-आधारित डाउनलोडर र Contagious Interview सञ्चालनहरूमा प्रयोग हुने जानकारी चोर हो। यसले EtherRAT या त प्रत्यक्ष उत्तराधिकारी हो वा त्यो अभियानमा प्रयोग गरिएको उपकरणको विस्तार हो भन्ने मूल्याङ्कनलाई बलियो बनाउँछ।

रक्षकहरूको लागि प्रभाव: गोप्यता र दृढता तर्फको परिवर्तन

EtherRAT ले React2Shell को शोषणमा महत्वपूर्ण विकास देखाउँछ। क्रिप्टोमाइनिङ वा क्रेडेन्सियल चोरी जस्ता अवसरवादी गतिविधिहरूमा मात्र ध्यान केन्द्रित गर्नुको सट्टा, यो इम्प्लान्टले लुकेको, दीर्घकालीन पहुँचलाई प्राथमिकता दिन्छ। स्मार्ट-अनुबंध-संचालित C2 अपरेशनहरू, सहमतिमा आधारित अन्तिम बिन्दु प्रमाणीकरण, बहु-दृढता तहहरू, र निरन्तर आत्म-अस्पष्टताको यसको मिश्रणले रक्षकहरूको लागि गम्भीर चुनौती खडा गर्छ।

सुरक्षा टोलीहरूको लागि मुख्य बुँदाहरू

सुरक्षा टोलीहरूले ध्यान दिनुपर्छ कि EtherRAT ले RSC शोषणमा उल्लेखनीय वृद्धिको प्रतिनिधित्व गर्दछ, यसलाई दीर्घकालीन घुसपैठलाई निरन्तरता दिन सक्षम एक निरन्तर र अत्यधिक अनुकूलनीय खतरामा रूपान्तरण गर्दछ। यसको कमाण्ड-एन्ड-नियन्त्रण पूर्वाधार विशेष गरी लचिलो छ, Ethereum स्मार्ट अनुबंधहरू र व्यक्तिगत अन्त्य बिन्दुहरूको सिङ्कहोलिंग प्रयासहरू, टेकडाउनहरू, र हेरफेरको सामना गर्न बहु-अन्त-बिन्दु सहमति संयन्त्रको लाभ उठाउँदै। थप रूपमा, मालवेयरको कन्टेगियस अन्तर्वार्ता अभियानसँगको नजिकको सम्बन्धले उच्च-मूल्य विकासकर्ता लक्ष्यहरूमा निरन्तर ध्यान केन्द्रित गर्दछ, ब्लकचेन र Web3 विकास समुदायहरू भित्र बढ्दो सतर्कताको आवश्यकतालाई जोड दिन्छ।