ஈதர்ராட் தீம்பொருள்
வட கொரிய ஆபரேட்டர்களுடன் இணைக்கப்பட்ட சமீபத்தில் கண்டுபிடிக்கப்பட்ட அச்சுறுத்தல் பிரச்சாரம், EtherRAT எனப்படும் முன்னர் காணப்படாத ரிமோட் அக்சஸ் ட்ரோஜனைப் பயன்படுத்துவதற்கு முக்கியமான React2Shell (RSC) பாதிப்பைப் பயன்படுத்தி வருவதாக நம்பப்படுகிறது. இந்த தீம்பொருள் அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) பணிப்பாய்வில் Ethereum ஸ்மார்ட் ஒப்பந்தங்களை இணைப்பதற்கும், Linux இல் பல நிலைத்தன்மை அடுக்குகளை நிறுவுவதற்கும், பயன்படுத்தலின் போது அதன் சொந்த Node.js இயக்க நேரத்தை தொகுப்பதற்கும் தனித்து நிற்கிறது.
பொருளடக்கம்
நடந்து கொண்டிருக்கும் 'தொற்று நேர்காணல்' செயல்பாடுகளுக்கான இணைப்புகள்
பாதுகாப்பு குழுக்கள் EtherRAT செயல்பாட்டிற்கும், Contagious Interview எனப்படும் நீண்டகால பிரச்சாரத்திற்கும் இடையே வலுவான ஒற்றுமைகளை அடையாளம் கண்டுள்ளன, இது 2025 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து செயலில் உள்ள தொடர் தாக்குதல்கள் மற்றும் தீம்பொருள் விநியோகத்திற்காக EtherHiding நுட்பத்தைப் பயன்படுத்துகிறது.
இந்த செயல்பாடுகள் பொதுவாக பிளாக்செயின் மற்றும் Web3 டெவலப்பர்களை குறிவைத்து, போலியான வேலை நேர்காணல்கள், குறியீட்டு சோதனைகள் மற்றும் வீடியோ மதிப்பீடுகளுக்குப் பின்னால் தீங்கிழைக்கும் நோக்கங்களை மறைப்பதன் மூலம் செயல்படுகின்றன. பாதிக்கப்பட்டவர்கள் பொதுவாக LinkedIn, Upwork மற்றும் Fiverr போன்ற தளங்கள் மூலம் தொடர்பு கொள்ளப்படுகிறார்கள், அங்கு தாக்குதல் நடத்துபவர்கள் அதிக மதிப்புள்ள வேலை வாய்ப்புகளை வழங்கும் முறையான ஆட்சேர்ப்பாளர்களைப் போல ஆள்மாறாட்டம் செய்கிறார்கள்.
இந்த அச்சுறுத்தல் கிளஸ்டர் npm சுற்றுச்சூழல் அமைப்பிற்குள் மிகவும் உற்பத்தித் திறன் கொண்ட தீங்கிழைக்கும் சக்திகளில் ஒன்றாக மாறியுள்ளது என்றும், ஜாவாஸ்கிரிப்ட் அடிப்படையிலான விநியோகச் சங்கிலிகள் மற்றும் கிரிப்டோ-மையப்படுத்தப்பட்ட பணிப்பாய்வுகளில் ஊடுருவுவதில் அதன் திறமையை வெளிப்படுத்துகிறது என்றும் ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர்.
ஆரம்ப மீறல்: React2Shell சுரண்டல்
தாக்குதல் வரிசையானது CVE‑2025‑55182 இன் சுரண்டலுடன் தொடங்குகிறது, இது 10 என்ற சரியான தீவிரத்தன்மை மதிப்பெண்ணுடன் கூடிய முக்கியமான RSC பாதிப்பு ஆகும். இந்தக் குறைபாட்டைப் பயன்படுத்தி, தாக்குபவர்கள் Base64‑குறியிடப்பட்ட கட்டளையை செயல்படுத்துகிறார்கள், இது முதன்மை ஜாவாஸ்கிரிப்ட் இம்ப்லாண்டைத் தொடங்குவதற்குப் பொறுப்பான ஷெல் ஸ்கிரிப்டைப் பதிவிறக்கித் தூண்டுகிறது.
இந்த ஸ்கிரிப்ட் curl வழியாகப் பெறப்படுகிறது, wget மற்றும் python3 காப்பு முறைகளாகச் செயல்படுகின்றன. பிரதான பேலோடைத் தொடங்குவதற்கு முன், அது nodejs.org இலிருந்து நேரடியாக Node.js v20.10.0 ஐப் பெறுவதன் மூலம் அமைப்பைத் தயாரிக்கிறது, பின்னர் ஒரு மறைகுறியாக்கப்பட்ட தரவு blob மற்றும் ஒரு மறைக்கப்பட்ட JavaScript dropper இரண்டையும் வட்டில் எழுதுகிறது. தடயவியல் தடயங்களைக் கட்டுப்படுத்த, அமைப்பு முடிந்ததும் ஸ்கிரிப்ட் தன்னைத்தானே சுத்தம் செய்து, கட்டுப்பாட்டை dropper இடம் ஒப்படைக்கிறது.
EtherRAT இன் விநியோகம்: குறியாக்கம், செயல்படுத்தல் மற்றும் ஸ்மார்ட் ஒப்பந்தம் C2
டிராப்பரின் முக்கிய செயல்பாடு நேரடியானது: கடின-குறியிடப்பட்ட விசையைப் பயன்படுத்தி EtherRAT பேலோடை டிக்ரிப்ட் செய்து, புதிதாக பதிவிறக்கம் செய்யப்பட்ட Node.js பைனரி மூலம் அதைத் தொடங்கவும்.
EtherRAT இன் தனித்துவமான அம்சம், EtherHidding-ஐ நம்பியிருப்பது ஆகும், இது ஒவ்வொரு ஐந்து நிமிடங்களுக்கும் Ethereum ஸ்மார்ட் ஒப்பந்தத்திலிருந்து C2 சர்வர் முகவரியை மீட்டெடுக்கும் ஒரு முறையாகும். இது ஆபரேட்டர்கள் ஏற்கனவே உள்ள டொமைன்களை சீர்குலைத்தாலும், உள்கட்டமைப்பை உடனடியாகப் புதுப்பிக்க அனுமதிக்கிறது.
இந்த செயல்படுத்தலில் ஒரு தனித்துவமான திருப்பம் அதன் ஒருமித்த அடிப்படையிலான வாக்களிப்பு முறையாகும். EtherRAT ஒன்பது பொது Ethereum RPC எண்ட்பாயிண்ட்களை ஒரே நேரத்தில் வினவுகிறது, முடிவுகளைச் சேகரிக்கிறது மற்றும் பெரும்பான்மையினரால் திருப்பி அனுப்பப்பட்ட C2 URL ஐ நம்புகிறது. இந்த அணுகுமுறை பல தற்காப்பு உத்திகளை நடுநிலையாக்குகிறது, ஒரு சமரசம் செய்யப்பட்ட அல்லது கையாளப்பட்ட RPC எண்ட்பாயிண்ட் பாட்நெட்டை தவறாக வழிநடத்தவோ அல்லது மூழ்கடிக்கவோ முடியாது என்பதை உறுதி செய்கிறது.
ஆராய்ச்சியாளர்கள் முன்பு இதேபோன்ற நுட்பத்தை தீங்கிழைக்கும் npm தொகுப்புகளான colortoolsv2 மற்றும் mimelib2 ஆகியவற்றில் கண்டறிந்தனர், அவை பதிவிறக்க கூறுகளை டெவலப்பர்களுக்கு விநியோகிக்கப் பயன்படுத்தப்பட்டன.
உயர் அதிர்வெண் கட்டளை வாக்கெடுப்பு மற்றும் பல அடுக்கு நிலைத்தன்மை
அதன் C2 சேவையகத்துடன் தொடர்பை ஏற்படுத்திய பிறகு, EtherRAT ஒவ்வொரு 500 மில்லி விநாடிகளிலும் இயங்கும் ஒரு விரைவான வாக்குப்பதிவு சுழற்சியில் நுழைகிறது. பத்து எழுத்துகளுக்கு மேல் உள்ள எந்த பதிலும் ஜாவாஸ்கிரிப்டாக விளக்கப்பட்டு, சமரசம் செய்யப்பட்ட கணினியில் உடனடியாக செயல்படுத்தப்படும்.
பல்வேறு லினக்ஸ் தொடக்க செயல்முறைகளில் நம்பகத்தன்மையை மேம்படுத்தும் ஐந்து நிலைத்தன்மை நுட்பங்கள் மூலம் நீண்டகால அணுகல் பராமரிக்கப்படுகிறது:
விடாமுயற்சி முறைகள்:
- Systemd பயனர் சேவை
- XDG தானியங்கு தொடக்க உள்ளீடு
- கிரான் வேலைகள்
- .bashrc மாற்றம்
- சுயவிவர ஊசி
பல செயல்பாட்டு பாதைகளில் பரவுவதன் மூலம், மறுதொடக்கம் செய்த பிறகும் தீம்பொருள் தொடர்ந்து இயங்குகிறது, இது ஆபரேட்டர்களுக்கு தடையற்ற அணுகலை உறுதி செய்கிறது.
சுய-புதுப்பிப்பு திறன்கள் மற்றும் தெளிவின்மை உத்தி
EtherRAT ஒரு அதிநவீன புதுப்பிப்பு செயல்முறையை உள்ளடக்கியது: இது அதன் சொந்த மூலக் குறியீட்டை ஒரு API எண்ட்பாயிண்டிற்கு அனுப்புகிறது, C2 சேவையகத்திலிருந்து மாற்றியமைக்கப்பட்ட பதிப்பைப் பெறுகிறது, மேலும் இந்த புதிய மாறுபாட்டுடன் தன்னை மீண்டும் தொடங்குகிறது. புதுப்பிப்பு செயல்பாட்டு ரீதியாக ஒரே மாதிரியாக இருந்தாலும், திரும்பிய பேலோட் வித்தியாசமாக தெளிவற்றதாக உள்ளது, இது இம்பிளாண்ட் நிலையான கண்டறிதல் நுட்பங்களைத் தவிர்க்க உதவுகிறது.
முந்தைய ஜாவாஸ்கிரிப்ட் அச்சுறுத்தல் குடும்பங்களுடன் குறியீடு ஒன்றுடன் ஒன்று இணைகிறது
மேலும் பகுப்பாய்வு, EtherRAT இன் மறைகுறியாக்கப்பட்ட ஏற்றியின் பகுதிகள், Contagious Interview செயல்பாடுகளில் பயன்படுத்தப்படும் அறியப்பட்ட ஜாவாஸ்கிரிப்ட் அடிப்படையிலான பதிவிறக்கி மற்றும் தகவல் திருட்டு கருவியான BeaverTail உடன் வடிவங்களைப் பகிர்ந்து கொள்கின்றன என்பதைக் காட்டுகிறது. இது EtherRAT ஒரு நேரடி வாரிசு அல்லது அந்த பிரச்சாரத்தில் பயன்படுத்தப்படும் கருவியின் நீட்டிப்பு என்ற மதிப்பீட்டை வலுப்படுத்துகிறது.
பாதுகாவலர்களுக்கான தாக்கங்கள்: திருட்டுத்தனம் மற்றும் விடாமுயற்சியை நோக்கிய மாற்றம்
React2Shell-ஐ சுரண்டுவதில் EtherRAT ஒரு குறிப்பிடத்தக்க பரிணாமத்தை நிரூபிக்கிறது. கிரிப்டோமைனிங் அல்லது நற்சான்றிதழ் திருட்டு போன்ற சந்தர்ப்பவாத நடவடிக்கைகளில் மட்டுமே கவனம் செலுத்துவதற்குப் பதிலாக, இந்த உள்வைப்பு திருட்டுத்தனமான, நீண்ட கால அணுகலுக்கு முன்னுரிமை அளிக்கிறது. ஸ்மார்ட்-ஒப்பந்த அடிப்படையிலான C2 செயல்பாடுகள், ஒருமித்த அடிப்படையிலான எண்ட்பாயிண்ட் சரிபார்ப்பு, பல நிலைத்தன்மை அடுக்குகள் மற்றும் தொடர்ச்சியான சுய-மறைப்பு ஆகியவற்றின் கலவையானது பாதுகாப்பாளர்களுக்கு ஒரு கடுமையான சவாலை ஏற்படுத்துகிறது.
பாதுகாப்பு குழுக்களுக்கான முக்கிய குறிப்புகள்
பாதுகாப்பு குழுக்கள், EtherRAT என்பது RSC சுரண்டலில் குறிப்பிடத்தக்க அதிகரிப்பை பிரதிநிதித்துவப்படுத்துகிறது என்பதைக் கவனத்தில் கொள்ள வேண்டும், இது நீண்டகால ஊடுருவல்களைத் தாங்கும் திறன் கொண்ட ஒரு தொடர்ச்சியான மற்றும் மிகவும் தகவமைப்பு அச்சுறுத்தலாக மாற்றுகிறது. அதன் கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்பு குறிப்பாக மீள்தன்மை கொண்டது, Ethereum ஸ்மார்ட் ஒப்பந்தங்கள் மற்றும் பல-இறுதிப்புள்ளி ஒருமித்த பொறிமுறையைப் பயன்படுத்தி மூழ்கும் முயற்சிகள், தரமிறக்குதல்கள் மற்றும் தனிப்பட்ட முனைப்புள்ளிகளின் கையாளுதலைத் தாங்கும். கூடுதலாக, Contagious Interview பிரச்சாரத்துடன் தீம்பொருளின் நெருங்கிய தொடர்பு, உயர் மதிப்பு டெவலப்பர் இலக்குகளில் தொடர்ந்து கவனம் செலுத்துவதை எடுத்துக்காட்டுகிறது, blockchain மற்றும் Web3 மேம்பாட்டு சமூகங்களுக்குள் அதிகரித்த விழிப்புணர்வின் அவசியத்தை வலியுறுத்துகிறது.
