黑客借React2Shell漏洞發(fā)起EtherRAT惡意軟件攻擊

在近期的React2Shell漏洞攻擊事件中，一款名為EtherRAT的新型惡意植入程序被安全研究人員發(fā)現(xiàn)，該程序不僅內(nèi)置五種獨(dú)立的Linux系統(tǒng)持久化機(jī)制，還會(huì)借助以太坊智能合約與攻擊者建立通信鏈路。

研究人員認(rèn)為，這款惡意軟件的特征與朝鮮黑客組織在Contagious Interview攻擊活動(dòng)中使用的工具相符。他們?cè)赗eact2Shell高危漏洞（CVE-2025-55182）披露僅兩天后，便從某遭入侵的Next.js應(yīng)用中成功提取到EtherRAT樣本。

EtherRAT整合了多項(xiàng)復(fù)雜功能，包括基于區(qū)塊鏈的命令與控制（C2）通信、多層Linux持久化、載荷實(shí)時(shí)重寫，以及依托完整Node.js運(yùn)行時(shí)環(huán)境實(shí)現(xiàn)的反檢測(cè)能力。盡管其與朝鮮Lazarus組織發(fā)起的Contagious Interview

React2Shell是React服務(wù)端組件（RSC）Flight協(xié)議中存在的最高級(jí)別反序列化漏洞，攻擊者可通過特制HTTP請(qǐng)求實(shí)現(xiàn)無認(rèn)證遠(yuǎn)程代碼執(zhí)行。

該漏洞影響大量運(yùn)行React/Next.js的云環(huán)境，在上周漏洞公開數(shù)小時(shí)后便已出現(xiàn)野外利用。隨著自動(dòng)化攻擊工具的普及，已有跨多個(gè)行業(yè)的至少30家組織機(jī)構(gòu)遭入侵，攻擊者借此竊取憑證、開展加密貨幣挖礦，并部署通用型后門程序。

EtherRAT的攻擊鏈路

Sysdig指出，EtherRAT采用多階段攻擊鏈路，其流程如下：

1.漏洞利用與初始載荷投放：首先通過React2Shell漏洞在目標(biāo)設(shè)備上執(zhí)行Base64編碼的Shell命令，該命令會(huì)嘗試通過curl、wget或python3（備選）工具下載惡意Shell腳本s.sh，并每300秒循環(huán)執(zhí)行一次直至下載成功。腳本獲取后會(huì)先經(jīng)過校驗(yàn)，再被賦予可執(zhí)行權(quán)限并啟動(dòng)。

腳本邏輯

2.運(yùn)行時(shí)環(huán)境部署：腳本會(huì)在用戶目錄$HOME/.local/share/下創(chuàng)建隱藏文件夾，從nodejs.org直接下載并解壓合法的Node.js v20.10.0運(yùn)行時(shí)環(huán)境。隨后寫入加密載荷數(shù)據(jù)塊與混淆后的JavaScript投放器，通過已下載的Node二進(jìn)制文件執(zhí)行投放器，執(zhí)行完畢后腳本會(huì)自行刪除。

3.惡意程序解密與加載：名為.kxnzl4mtez.js的混淆JavaScript投放器會(huì)讀取加密數(shù)據(jù)塊，通過硬編碼的AES-256-CBC密鑰完成解密，并將解密結(jié)果寫入另一隱藏JavaScript文件。該解密后的文件即為EtherRAT植入程序，最終通過前一階段安裝的Node.js環(huán)境完成部署。

高級(jí)植入程序的核心特征

基于以太坊智能合約的C2通信

EtherRAT采用以太坊智能合約實(shí)現(xiàn)C2操作，該方式不僅具備靈活的運(yùn)營能力，還能有效抵御反制與關(guān)停措施。其會(huì)并行查詢9個(gè)公共以太坊RPC節(jié)點(diǎn)，并以多數(shù)節(jié)點(diǎn)的響應(yīng)結(jié)果為準(zhǔn)，可防止單點(diǎn)節(jié)點(diǎn)投毒或域名劫持攻擊。

此外，該惡意軟件每500毫秒便會(huì)向C2發(fā)送隨機(jī)生成的類CDN格式URL，并通過AsyncFunction構(gòu)造器執(zhí)行攻擊者下發(fā)的JavaScript代碼，形成可完全交互的Node.js命令行環(huán)境。

構(gòu)建隨機(jī)URL

朝鮮黑客此前便曾使用智能合約進(jìn)行惡意軟件投放與分發(fā)，該技術(shù)被稱為EtherHiding，谷歌與GuardioLabs均曾發(fā)布相關(guān)技術(shù)報(bào)告。

Linux系統(tǒng)的五層持久化機(jī)制

EtherRAT在Linux系統(tǒng)中具備極強(qiáng)的持久化能力，通過部署五層冗余機(jī)制確保控制權(quán)不丟失，具體包括：

·定時(shí)任務(wù)（Cron jobs）

·bashrc配置注入

·XDG自動(dòng)啟動(dòng)項(xiàng)

·Systemd用戶服務(wù)

·配置文件（Profile）注入

借助多維度持久化手段，即便目標(biāo)系統(tǒng)經(jīng)歷重啟或運(yùn)維操作，攻擊者仍能維持對(duì)受感染設(shè)備的訪問權(quán)限。

自主更新與載荷重混淆能力

EtherRAT的另一獨(dú)特功能是可通過向API端點(diǎn)發(fā)送自身源代碼實(shí)現(xiàn)自主更新。其會(huì)接收功能一致但混淆方式不同的替換代碼，完成自身覆蓋后啟動(dòng)新進(jìn)程運(yùn)行更新后的載荷。該機(jī)制既能幫助惡意軟件規(guī)避靜態(tài)檢測(cè)，也可阻礙逆向分析，同時(shí)支持按需加載特定攻擊功能。

鑒于目前React2Shell漏洞已被多方黑客組織利用，系統(tǒng)管理員需盡快將React/Next.js版本升級(jí)至安全版本。研究人員建議用戶應(yīng)快速排查上述持久化機(jī)制的存在痕跡、監(jiān)控以太坊RPC相關(guān)流量、審計(jì)應(yīng)用程序日志，并及時(shí)輪換各類賬戶憑證。

參考及來源：https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/