EtherRAT-skadlig kod
En nyligen avslöjad hotkampanj kopplad till nordkoreanska operatörer tros utnyttja den kritiska sårbarheten React2Shell (RSC) för att distribuera en tidigare osynlig fjärråtkomsttrojan som kallas EtherRAT. Denna skadliga kod utmärker sig genom att integrera Ethereums smarta kontrakt i sitt Command-and-Control (C2)-arbetsflöde, installera flera persistenslager på Linux och paketera sin egen Node.js-körningstid under distributionen.
Innehållsförteckning
Länkar till de pågående operationerna “Smittsamma intervjuer”
Säkerhetsteam har identifierat starka likheter mellan EtherRAT-aktivitet och den långvariga kampanjen som kallas Contagious Interview, en serie attacker som har varit aktiva sedan början av 2025 och använder EtherHiding-tekniken för leverans av skadlig kod.
Dessa operationer riktar sig vanligtvis mot blockchain- och Web3-utvecklare genom att maskera illvilliga avsikter bakom påhittade jobbintervjuer, kodningstester och videobedömningar. Offren kontaktas vanligtvis via plattformar som LinkedIn, Upwork och Fiverr, där angripare utger sig för att vara legitima rekryterare som erbjuder värdefulla anställningsmöjligheter.
Forskare noterar att detta hotkluster har blivit en av de mest produktiva skadliga krafterna inom npm-ekosystemet, vilket visar dess förmåga att infiltrera JavaScript-baserade leveranskedjor och kryptofokuserade arbetsflöden.
Det första intrånget: React2Shell-utnyttjande
Attacksekvensen börjar med utnyttjandet av CVE-2025-55182, en kritisk RSC-sårbarhet med en perfekt allvarlighetsgrad på 10. Med hjälp av denna brist kör angriparna ett Base64-kodat kommando som laddar ner och utlöser ett shell-skript som ansvarar för att initiera det primära JavaScript-implantatet.
Skriptet hämtas via curl, med wget och python3 som backupmetoder. Innan huvudnyttolasten startas förbereder det systemet genom att hämta Node.js v20.10.0 direkt från nodejs.org, och skriver sedan både en krypterad datablob och en dold JavaScript-dropper till disken. För att begränsa forensiska spår rensar skriptet upp efter sig självt när installationen är klar och överlämnar kontrollen till droppern.
Leverans av EtherRAT: Kryptering, exekvering och smarta kontrakt C2
Dropperns kärnfunktion är enkel: dekryptera EtherRAT-nyttolasten med en hårdkodad nyckel och starta den med den nyligen nedladdade Node.js-binärfilen.
EtherRATs enastående funktion är dess beroende av EtherHiding, en metod som hämtar C2-serveradressen från ett Ethereum smartkontrakt var femte minut. Detta gör det möjligt för operatörerna att uppdatera infrastrukturen i farten, även om försvarare stör befintliga domäner.
En unik twist i den här implementeringen är dess konsensusbaserade röstningssystem. EtherRAT frågar nio offentliga Ethereum RPC-slutpunkter samtidigt, samlar in resultaten och litar på C2-URL:en som returneras av majoriteten. Denna metod neutraliserar flera defensiva strategier och säkerställer att en komprometterad eller manipulerad RPC-slutpunkt inte kan vilseleda eller sänka hål i botnätet.
Forskare upptäckte tidigare en liknande teknik i de skadliga npm-paketen colortoolsv2 och mimelib2, som användes för att distribuera nedladdningskomponenter till utvecklare.
Högfrekvent kommandoavfrågning och flerskiktsbeständighet
Efter att ha upprättat kommunikation med sin C2-server går EtherRAT in i en snabb pollingcykel som körs var 500:e millisekund. Alla svar som överstiger tio tecken tolkas som JavaScript och körs direkt på det komprometterade systemet.
Långsiktig åtkomst upprätthålls genom fem persistenstekniker, vilket ökar tillförlitligheten i olika Linux-startprocesser:
Persistensmetoder:
- Systemd-användartjänst
- XDG autostart-post
- Cron-jobb
- .bashrc-modifiering
- Profilinjektion
Genom att sprida sig över flera exekveringsvägar fortsätter skadlig kod att köras även efter omstarter, vilket säkerställer oavbruten åtkomst för operatörerna.
Självuppdaterande funktioner och förvirringsstrategi
EtherRAT inkluderar en sofistikerad uppdateringsprocess: den skickar sin egen källkod till en API-slutpunkt, tar emot en modifierad version från C2-servern och startar om sig själv med denna nya variant. Även om uppdateringen är funktionellt identisk, är den returnerade nyttolasten obfuskerad på ett annat sätt, vilket hjälper implantatet att undvika statiska detekteringstekniker.
Kod överlappar med tidigare JavaScript-hotfamiljer
Vidare analys visar att delar av EtherRATs krypterade laddare delar mönster med BeaverTail, en känd JavaScript-baserad nedladdare och informationstjuv som används i Contagious Interview-operationer. Detta förstärker bedömningen att EtherRAT antingen är en direkt efterföljare till eller en förlängning av verktyg som användes i den kampanjen.
Implikationer för försvarare: En förskjutning mot smygande och uthållighet
EtherRAT visar en betydande utveckling i utnyttjandet av React2Shell. Istället för att enbart fokusera på opportunistiska aktiviteter som kryptoutvinning eller stöld av autentiseringsuppgifter, prioriterar detta implantat smygande, långsiktig åtkomst. Dess blandning av smarta kontraktsdrivna C2-operationer, konsensusbaserad endpointverifiering, flera persistenslager och kontinuerlig självförvirring utgör en allvarlig utmaning för försvarare.
Viktiga lärdomar för säkerhetsteam
Säkerhetsteam bör notera att EtherRAT representerar en betydande eskalering av RSC-exploatering och omvandlar det till ett ihållande och mycket anpassningsbart hot som kan motstå långsiktiga intrång. Dess kommando- och kontrollinfrastruktur är särskilt motståndskraftig och utnyttjar Ethereums smarta kontrakt och en konsensusmekanism med flera slutpunkter för att motstå försök till sinkholing, nedtagningar och manipulation av enskilda slutpunkter. Dessutom belyser den skadliga programvarans nära koppling till kampanjen Contagious Interview ett fortsatt fokus på högvärdiga utvecklare, vilket betonar behovet av ökad vaksamhet inom blockkedje- och Web3-utvecklingsgemenskaperna.
