Злонамерни софтвер EtherRAT
Верује се да недавно откривена кампања претњи повезана са севернокорејским оператерима искоришћава критичну рањивост React2Shell (RSC) за постављање раније невиђеног тројанца за даљински приступ познатог као EtherRAT. Овај малвер се истиче по укључивању паметних уговора Ethereum у свој ток рада Command-and-Control (C2), инсталирању више слојева перзистентности на Linux-у и интеграцији сопственог Node.js runtime-а током постављања.
Преглед садржаја
Линкови до текућих операција „Заразног интервјуа“
Безбедносни тимови су идентификовали јаке сличности између активности EtherRAT-а и дуготрајне кампање под називом Contagious Interview, серије напада која је активна од почетка 2025. године и користи технику EtherHiding за испоруку злонамерног софтвера.
Ове операције обично циљају програмере блокчејна и Web3 технологија маскирајући злонамерне намере иза лажних интервјуа за посао, тестова кодирања и видео процена. Жртве се обично контактирају путем платформи као што су LinkedIn, Upwork и Fiverr, где нападачи опонашају легитимне регрутере који нуде висококвалитетне могућности запослења.
Истраживачи напомињу да је овај кластер претњи постао једна од најпродуктивнијих злонамерних сила унутар npm екосистема, демонстрирајући своју вештину у инфилтрацији у ланце снабдевања засноване на JavaScript-у и крипто-фокусиране радне процесе.
Првобитни продор: експлоатација React2Shell-а
Секвенца напада почиње експлоатацијом CVE‑2025‑55182, критичне RSC рањивости са савршеном оценом озбиљности 10. Користећи ову грешку, нападачи извршавају Base64 кодирану команду која преузима и покреће shell скрипту одговорну за покретање примарног JavaScript имплантата.
Скрипта се преузима преко curl-а, где wget и python3 делују као резервне методе. Пре покретања главног корисног оптерећења, припрема систем тако што директно са nodejs.org преузима Node.js v20.10.0, а затим на диск записује и шифровани блоб података и скривени JavaScript дропер. Да би се ограничили форензички трагови, скрипта чисти за собом након што је подешавање завршено и предаје контролу дроперу.
Испорука EtherRAT-а: Шифровање, извршење и паметни уговор C2
Основна функција дропера је једноставна: дешифровање EtherRAT корисног оптерећења помоћу чврсто кодираног кључа и његово покретање помоћу свеже преузете бинарне датотеке Node.js.
Издвојена карактеристика EtherRAT-а је његово ослањање на EtherHiding, методу која преузима адресу C2 сервера из Ethereum паметног уговора сваких пет минута. Ово омогућава оператерима да ажурирају инфраструктуру у ходу, чак и ако браниоци ометају постојеће домене.
Јединствена карактеристика ове имплементације је систем гласања заснован на консензусу. EtherRAT истовремено упитује девет јавних Ethereum RPC крајњих тачака, прикупља резултате и верује C2 URL-у који враћа већина. Овај приступ неутралише неколико одбрамбених стратегија, осигуравајући да једна компромитована или манипулисана RPC крајња тачка не може да завара или провали ботнет.
Истраживачи су раније приметили сличну технику у злонамерним npm пакетима colortoolsv2 и mimelib2, који су коришћени за дистрибуцију компоненти за преузимање програмерима.
Високофреквентно испитивање команди и вишеслојна перзистентност
Након успостављања комуникације са својим C2 сервером, EtherRAT улази у брзи циклус анкетирања који се покреће сваких 500 милисекунди. Сваки одговор који прелази десет карактера се тумачи као JavaScript и извршава се одмах на компромитованом систему.
Дугорочни приступ се одржава путем пет техника перзистентности, подижући поузданост у различитим процесима покретања Линукса:
Методе истрајности:
- Корисничка услуга Systemd-а
- Аутоматски унос XDG-а
- Cron послови
- Модификација датотеке .bashrc
- Убризгавање профила
Ширењем преко више путања извршавања, злонамерни софтвер наставља да ради чак и након поновног покретања система, обезбеђујући непрекидан приступ оператерима.
Могућности самоажурирања и стратегија замагљивања
EtherRAT укључује софистицирани процес ажурирања: шаље сопствени изворни код API крајњој тачки, прима модификовану верзију са C2 сервера и поново се покреће са овом новом варијантом. Иако је ажурирање функционално идентично, враћени корисни терет је другачије обфусциран, што помаже импланту да избегне технике статичке детекције.
Преклапање кода са претходним породицама претњи у Јаваскрипту
Даља анализа открива да делови шифрованог програма за учитавање EtherRAT-а деле обрасце са BeaverTail-ом, познатим програмом за преузимање и крађу информација заснованим на JavaScript-у који се користи у операцијама Contagious Interview. Ово потврђује процену да је EtherRAT или директан наследник или продужетак алата коришћених у тој кампањи.
Импликације за браниоце: Прелазак на прикривеност и истрајност
EtherRAT показује значајну еволуцију у експлоатацији React2Shell-а. Уместо да се фокусира искључиво на опортунистичке активности попут крипто рударења или крађе акредитива, овај имплантат даје приоритет прикривеном, дугорочном приступу. Његова комбинација C2 операција вођених паметним уговорима, верификације крајњих тачака засноване на консензусу, вишеструких слојева перзистентности и континуираног самозамагљивања представља озбиљан изазов за браниоце.
Кључне закључке за безбедносне тимове
Безбедносни тимови треба да имају на уму да EtherRAT представља значајну ескалацију експлоатације RSC-а, трансформишући га у упорну и веома прилагодљиву претњу способну да одржи дугорочне упаде. Његова инфраструктура командовања и контроле је посебно отпорна, користећи паметне уговоре Ethereum-а и механизам консензуса на више крајњих тачака како би се издржала покушајима „sinkholing-а“, уклањањима и манипулацијама појединачним крајњим тачкама. Поред тога, блиска повезаност злонамерног софтвера са кампањом Contagious Interview истиче континуирани фокус на програмере високе вредности, наглашавајући потребу за повећаном будношћу унутар блокчејн и Web3 развојних заједница.
