Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Актери поврзани со Северна Кореја го експлоатираат React2Shell за да распореди нов EtherRAT малициозен софтвер

Објавено: 10.12.2025

Актери заканувачи со врски со Северна Кореја најверојатно станаа најновите што ја експлоатираат неодамна објавената критична безбедносна пропуст React2Shell во React Server Components (RSC) за да испорачаат претходно недокументиран тројанец за далечински пристап наречен EtherRAT.

„EtherRAT користи Ethereum смарт-контракти за command-and-control (C2) резолуција, распоредува пет независни Linux механизми за упорност и го симнува сопствениот Node.js runtime од nodejs.org,“ рече Sysdig во извештај објавен во понеделник.

Фирмата за безбедност во облак рече дека активноста покажува значително преклопување со долготрајна кампања со кодно име Contagious Interview, која е забележана дека ја користи техниката EtherHiding за дистрибуција на малициозен софтвер од февруари 2025 година.

Contagious Interview е име дадено на серија напади во кои blockchain и Web3 програмери, меѓу другите, се таргетирани преку лажни интервјуа за работа, кодинг задачи и видео проценки, што доведува до распоредување на малициозен софтвер. Овие напори обично започнуваат со измама што ги мами жртвите преку платформи како LinkedIn, Upwork или Fiverr, каде што актери заканувачи се претставуваат како регрутери што нудат профитабилни можности за работа.

Според компанијата за безбедност на софтверски ланец на снабдување Socket, ова е една од најпродуктивните кампањи што го експлоатираат npm екосистемот, истакнувајќи ја нивната способност да се прилагодат на JavaScript и криптовалутно-центрирани работни текови.

Синџирот на напад започнува со експлоатација на CVE-2025-55182 (CVSS резултат: 10.0), безбедносен пропуст со максимална сериозност во RSC, за да се изврши Base64-кодиран shell command што симнува и извршува shell скрипта одговорна за распоредување на главниот JavaScript имплант.

Shell скриптата се повлекува со користење на curl команда, со wget и python3 како резерви. Исто така е дизајнирана да ја подготви околината со симнување на Node.js v20.10.0 од nodejs.org, по што запишува на диск енкриптиран blob и замаскиран JavaScript dropper. Откако сите овие чекори се завршени, продолжува да ја избрише shell скриптата за да го минимизира форензичкиот траг и го извршува dropper-от.

Примарната цел на dropper-от е да го дешифрира EtherRAT payload-от со хард-кодирана клуч и да го стартува користејќи ја симната Node.js бинарна датотека. Малициозниот софтвер е забележлив по тоа што го користи EtherHiding за да ја земе C2 URL адресата од Ethereum смарт-контракт на секои пет минути, овозможувајќи им на операторите лесно да ја ажурираат URL адресата, дури и ако биде отстранета.

„Она што ја прави оваа имплементација уникатна е користењето на консензус гласање преку девет јавни Ethereum RPC endpoints,“ рече Sysdig. „EtherRAT ги испрашува сите девет endpoints паралелно, собира одговори и ја избира URL адресата што е вратена од мнозинството.“

„Овој консензус механизам штити од неколку сценарија на напад: еден компромитиран RPC endpoint не може да ги пренасочи ботовите кон sinkhole, и истражувачите не можат да ја отрујат C2 резолуцијата со работење на лажен RPC node.“

Забележливо е дека слична имплементација претходно е забележана во два npm пакети именувани colortoolsv2 и mimelib2 кои беа откриени дека испорачуваат downloader малициозен софтвер на системи на програмери.

Откако EtherRAT воспоставува контакт со C2 серверот, влегува во polling loop што се извршува секои 500 милисекунди, интерпретирајќи секој одговор подолг од 10 карактери како JavaScript код што треба да се изврши на заразениот компјутер. Упорноста се постигнува со користење на пет различни методи –

• Systemd user service
• XDG autostart entry
• Cron jobs
• .bashrc injection
• Profile injection

Со користење на повеќе механизми, актери заканувачи можат да обезбедат дека малициозниот софтвер работи дури и по рестарт на системот и им дава континуиран пристап до заразените системи. Друг знак што укажува на софистицираноста на малициозниот софтвер е способноста за само-ажурирање што се препишува со новиот код добиен од C2 серверот по испраќање на сопствениот изворен код до API endpoint.

Потоа стартува нов процес со ажурираниот payload. Она што е забележливо тука е дека C2 враќа функционално идентична, но различно замаскирана верзија, со што можеби овозможува да се избегне статичка signature-based детекција.

Покрај употребата на EtherHiding, врските со Contagious Interview произлегуваат од преклопувањата помеѓу енкриптираниот loader pattern користен во EtherRAT и познат крадец на информации и downloader напишан во JavaScript наречен BeaverTail.

„EtherRAT претставува значителна еволуција во React2Shell експлоатацијата, движeјќи се подалеку од опортунистичко копање криптовалути и кражба на креденцијали кон упорен, скриен пристап дизајниран за долгорочни операции,“ рече Sysdig.

„Без разлика дали ова претставува Севернокорејски актери кои се префрлаат на нови вектори за експлоатација или софистицирано позајмување техники од друг актер, резултатот е ист: одбранбените тимови се соочуваат со предизвикувачки нов имплант што се спротивставува на традиционалните методи за детекција и елиминација.“

Contagious Interview се префрла од npm на VS Code

Откривањето доаѓа откако OpenSourceMalware објави детали за нова варијанта на Contagious Interview, која ги охрабрува жртвите да клонираат малициозен репозиториум на GitHub, GitLab или Bitbucket како дел од програмски задаток и да го стартуваат проектот во Microsoft Visual Studio Code (VS Code).

Ова резултира со извршување на VS Code tasks.json фајл поради тоа што е конфигуриран со runOptions.runOn: 'folderOpen', што предизвикува автоматско извршување веднаш штом проектот се отвори. Фајлот е дизајниран да симне loader скрипта користејќи curl или wget, зависно од оперативниот систем на компромитираниот хост.

Во случај на Linux, следната фаза е shell скрипта која симнува и извршува друга shell скрипта наречена “vscode-bootstrap.sh”, која потоа ја повлекува уште две датотеки, “package.json” и “env-setup.js”, каде последната служи како launchpad за BeaverTail и InvisibleFerret.

OpenSourceMalware истакна дека идентификувал 13 различни верзии на оваа кампања, распоредени помеѓу 27 различни GitHub корисници и 11 различни верзии на BeaverTail. Најраниот репозиториум (“github[.]com/MentarisHub121/TokenPresaleApp”) датира од 22 април 2025, а најновата верзија (“github[.]com/eferos93/test4”) е креирана на 1 декември 2025.

„DPRK актери закани се префрлиле на Vercel и сега го користат речиси исклучиво,“ рече тимот на OpenSourceMalware. „Не знаеме зошто, но Contagious Interview престана да го користи Fly.io, Platform.sh, Render и други провајдери за хостинг.“

Извори:

  • The Hacker News – North Korea-linked Actors Exploit React2Shell to Deploy New EtherRAT Malware The Hacker News