Зловмисники, пов’язані з Північною Кореєю, ймовірно, стали останніми, хто використав нещодавно виявлену критичну помилку безпеки React2Shell у React Server Components (RSC), щоб створити раніше незадокументований троян віддаленого доступу під назвою EtherRAT.
«EtherRAT використовує смарт-контракти Ethereum для командно-контрольного вирішення (C2), розгортає п’ять незалежних механізмів збереження Linux і завантажує власне середовище виконання Node.js з nodejs.org», — йдеться у звіті Sysdig, опублікованому в понеділок.
Компанія хмарної безпеки заявила, що ця діяльність суттєво збігається з тривалою кампанією під кодовою назвою Contagious Interview, яка, як спостерігалося, використовує техніку EtherHiding для розповсюдження шкідливого програмного забезпечення з лютого 2025 року.
«Заразливе співбесіда» — це назва серії атак, під час яких розробники блокчейнів і Web3, серед іншого, стають мішенню через фальшиві співбесіди, завдання кодування та відеооцінювання, що призводить до розгортання зловмисного програмного забезпечення. Ці зусилля зазвичай починаються з підступу, який заманює жертв через такі платформи, як LinkedIn, Upwork або Fiverr, де загрозливі особи видають себе за вербувальників, які пропонують вигідні можливості роботи.
За даними компанії з безпеки ланцюга поставок програмного забезпечення Socket, це одна з найплідніших кампаній, що використовують екосистему npm, підкреслюючи їх здатність адаптуватися до JavaScript і робочих процесів, орієнтованих на криптовалюту.
Ланцюжок атак починається з використання CVE-2025-55182 (оцінка CVSS: 10,0), уразливості безпеки максимального рівня в RSC, для виконання команди оболонки, закодованої Base64, яка завантажує та запускає сценарій оболонки, відповідальний за розгортання основного імплантата JavaScript.
Сценарій оболонки отримується за допомогою команди curl із використанням wget і python3 як запасних. Він також розроблений для підготовки середовища шляхом завантаження Node.js v20.10.0 з nodejs.org, після чого він записує на диск зашифровану блоб-об’єкт і обфусцований дроппер JavaScript. Після завершення всіх цих кроків він переходить до видалення сценарію оболонки, щоб мінімізувати судовий слід, і запускає дроппер.
Основна мета дроппера — розшифрувати корисне навантаження EtherRAT за допомогою жорстко закодованого ключа та створити його за допомогою завантаженого двійкового файлу Node.js. Зловмисне програмне забезпечення відоме тим, що використовує EtherHiding для отримання URL-адреси сервера C2 зі смарт-контракту Ethereum кожні п’ять хвилин, що дозволяє операторам легко оновлювати URL-адресу, навіть якщо її видалено.
«Що робить цю реалізацію унікальною, так це використання консенсусного голосування в дев’яти публічних кінцевих точках віддаленого виклику процедури Ethereum (RPC), — сказав Sysdig. «EtherRAT запитує всі дев’ять кінцевих точок паралельно, збирає відповіді та вибирає URL-адресу, яку повертає більшість».
«Цей консенсусний механізм захищає від кількох сценаріїв атак: одна скомпрометована кінцева точка RPC не може перенаправляти ботів у воронку, а дослідники не можуть отруїти дозвіл C2, керуючи шахрайським вузлом RPC».
Варто зазначити, що подібна реалізація раніше спостерігалася в двох пакетах npm під назвами colortoolsv2 і mimelib2, які, як було виявлено, доставляли зловмисне програмне забезпечення для завантажувачів у системи розробників.
Щойно EtherRAT встановлює контакт із сервером C2, він входить у цикл опитування, який виконується кожні 500 мілісекунд, інтерпретуючи будь-яку відповідь, що перевищує 10 символів, як код JavaScript, який буде запущено на зараженій машині. Наполегливість досягається за допомогою п'яти різних методів –
- Служба користувача Systemd
- Запис автозапуску XDG
- Роботи Cron
- Ін'єкція .bashrc
- Ін'єкція профілю
Використовуючи кілька механізмів, зловмисники можуть забезпечити роботу зловмисного програмного забезпечення навіть після перезавантаження системи та надати їм безперервний доступ до заражених систем. Ще однією ознакою складності зловмисного програмного забезпечення є здатність до самооновлення, яке замінює себе новим кодом, отриманим із сервера C2 після надсилання власного вихідного коду до кінцевої точки API.
Потім він запускає новий процес з оновленим корисним навантаженням. Примітним є те, що C2 повертає функціонально ідентичну, але по-різному обфусцовану версію, таким чином, можливо, дозволяючи йому обійти виявлення на основі статичного підпису.
На додаток до використання EtherHiding, посилання на Contagious Interview походять від збігів між зашифрованим шаблоном завантажувача, який використовується в EtherRAT, і відомим викрадачем інформації та завантажувачем інформації JavaScript під назвою BeaverTail.
«EtherRAT являє собою значну еволюцію в експлуатації React2Shell, переходячи від опортуністичної криптомайнінгу та крадіжки облікових даних до постійного, прихованого доступу, призначеного для довгострокових операцій», — сказав Sysdig.
«Незалежно від того, чи йдеться про те, що північнокорейські актори повертаються до нових векторів експлуатації, чи про запозичення складної техніки іншим актором, результат однаковий: захисники стикаються з новим складним імплантатом, який протистоїть традиційним методам виявлення та ліквідації».
Інфекційне інтерв’ю переходить від npm до VS Code
Розголошення сталося після того, як OpenSourceMalware оприлюднив деталі нового варіанту Contagious Interview, який спонукає жертв клонувати шкідливий репозиторій на GitHub, GitLab або Bitbucket як частину програмного завдання та запустити проект у Microsoft Visual Studio Code (VS Code).
Це призводить до виконання файлу VS Code tasks.json через його конфігурацію з runOptions.runOn: 'folderOpen', що спричиняє його автоматичний запуск, щойно відкривається проект. Файл створено для завантаження сценарію завантажувача за допомогою curl або wget на основі операційної системи скомпрометованого хоста.
У випадку Linux наступним етапом є сценарій оболонки, який завантажує та запускає інший сценарій оболонки під назвою “vscode-bootstrap.sh”, який потім отримує ще два файли, “package.json” і “env-setup.js”, останній з яких служить панеллю запуску для BeaverTail і InvisibleFerret.
OpenSourceMalware повідомила, що виявила 13 різних версій цієї кампанії, поширених між 27 різними користувачами GitHub і 11 різними версіями BeaverTail. Найперший репозиторій («github[.]com/MentarisHub121/TokenPresaleApp”) датується 22 квітня 2025 року, а остання версія (“github[.]com/eferos93/test4”) було створено 1 грудня 2025 року.
«Актори загрози КНДР звернулися до Vercel і тепер використовують його майже виключно», — заявила команда OpenSourceMalware. «Ми не знаємо чому, але Contagious Interview припинив використання Fly.io, Platform.sh, Render та інших хостинг-провайдерів».