在近期的React2Shell漏洞攻擊事件中，一款名為EtherRAT的新型惡意植入程序被安全研究人員發(fā)現(xiàn)，該程序不僅內(nèi)置五種獨立的Linux系統(tǒng)持久化機制，還會借助以太坊智能合約與攻擊者建立通信鏈路。

研究人員認為，這款惡意軟件的特征與朝鮮黑客組織在Contagious Interview攻擊活動中使用的工具相符。他們在React2Shell高危漏洞（CVE-2025-55182）披露僅兩天后，便從某遭入侵的Next.js應(yīng)用中成功提取到EtherRAT樣本。

EtherRAT整合了多項復(fù)雜功能，包括基于區(qū)塊鏈的命令與控制（C2）通信、多層Linux持久化、載荷實時重寫，以及依托完整Node.js運行時環(huán)境實現(xiàn)的反檢測能力。盡管其與朝鮮Lazarus組織發(fā)起的Contagious Interview

React2Shell是React服務(wù)端組件（RSC）Flight協(xié)議中存在的最高級別反序列化漏洞，攻擊者可通過特制HTTP請求實現(xiàn)無認證遠程代碼執(zhí)行。

該漏洞影響大量運行React/Next.js的云環(huán)境，在上周漏洞公開數(shù)小時后便已出現(xiàn)野外利用。隨著自動化攻擊工具的普及，已有跨多個行業(yè)的至少30家組織機構(gòu)遭入侵，攻擊者借此竊取憑證、開展加密貨幣挖礦，并部署通用型后門程序。

EtherRAT的攻擊鏈路

Sysdig指出，EtherRAT采用多階段攻擊鏈路，其流程如下：

1.漏洞利用與初始載荷投放：首先通過React2Shell漏洞在目標設(shè)備上執(zhí)行Base64編碼的Shell命令，該命令會嘗試通過curl、wget或python3（備選）工具下載惡意Shell腳本s.sh，并每300秒循環(huán)執(zhí)行一次直至下載成功。腳本獲取后會先經(jīng)過校驗，再被賦予可執(zhí)行權(quán)限并啟動。

腳本邏輯

2.運行時環(huán)境部署：腳本會在用戶目錄$HOME/.local/share/下創(chuàng)建隱藏文件夾，從nodejs.org直接下載并解壓合法的Node.js v20.10.0運行時環(huán)境。隨后寫入加密載荷數(shù)據(jù)塊與混淆后的JavaScript投放器，通過已下載的Node二進制文件執(zhí)行投放器，執(zhí)行完畢后腳本會自行刪除。

3.惡意程序解密與加載：名為.kxnzl4mtez.js的混淆JavaScript投放器會讀取加密數(shù)據(jù)塊，通過硬編碼的AES-256-CBC密鑰完成解密，并將解密結(jié)果寫入另一隱藏JavaScript文件。該解密后的文件即為EtherRAT植入程序，最終通過前一階段安裝的Node.js環(huán)境完成部署。

高級植入程序的核心特征

基于以太坊智能合約的C2通信

EtherRAT采用以太坊智能合約實現(xiàn)C2操作，該方式不僅具備靈活的運營能力，還能有效抵御反制與關(guān)停措施。其會并行查詢9個公共以太坊RPC節(jié)點，并以多數(shù)節(jié)點的響應(yīng)結(jié)果為準，可防止單點節(jié)點投毒或域名劫持攻擊。

此外，該惡意軟件每500毫秒便會向C2發(fā)送隨機生成的類CDN格式URL，并通過AsyncFunction構(gòu)造器執(zhí)行攻擊者下發(fā)的JavaScript代碼，形成可完全交互的Node.js命令行環(huán)境。

構(gòu)建隨機URL

朝鮮黑客此前便曾使用智能合約進行惡意軟件投放與分發(fā)，該技術(shù)被稱為EtherHiding，谷歌與GuardioLabs均曾發(fā)布相關(guān)技術(shù)報告。

Linux系統(tǒng)的五層持久化機制

EtherRAT在Linux系統(tǒng)中具備極強的持久化能力，通過部署五層冗余機制確?？刂茩?quán)不丟失，具體包括：

·定時任務(wù)（Cron jobs）

·bashrc配置注入

·XDG自動啟動項

·Systemd用戶服務(wù)

·配置文件（Profile）注入

借助多維度持久化手段，即便目標系統(tǒng)經(jīng)歷重啟或運維操作，攻擊者仍能維持對受感染設(shè)備的訪問權(quán)限。

自主更新與載荷重混淆能力

EtherRAT的另一獨特功能是可通過向API端點發(fā)送自身源代碼實現(xiàn)自主更新。其會接收功能一致但混淆方式不同的替換代碼，完成自身覆蓋后啟動新進程運行更新后的載荷。該機制既能幫助惡意軟件規(guī)避靜態(tài)檢測，也可阻礙逆向分析，同時支持按需加載特定攻擊功能。

鑒于目前React2Shell漏洞已被多方黑客組織利用，系統(tǒng)管理員需盡快將React/Next.js版本升級至安全版本。研究人員建議用戶應(yīng)快速排查上述持久化機制的存在痕跡、監(jiān)控以太坊RPC相關(guān)流量、審計應(yīng)用程序日志，并及時輪換各類賬戶憑證。

參考及來源：https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/