朝鲜黑客组织利用React2Shell漏洞部署新型EtherRAT恶意软件
好的,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得快速浏览文章,抓住主要信息。 文章主要讲的是与朝鲜有关的黑客组织利用React服务器组件中的一个关键漏洞,部署了一种新的远程访问木马EtherRAT。这个恶意软件有几个特点:它使用以太坊智能合约进行命令与控制,有五种持久化机制,并且能够自我更新。 接下来,文章还提到Contagious Interview行动转向使用VS Code作为攻击载体,诱使受害者克隆恶意代码库。这些信息都是关键点。 现在,我需要把这些要点浓缩成100字以内的总结。要注意用词简洁,涵盖主要技术细节和攻击手段。 可能的结构是:先点明攻击组织和利用的漏洞,然后描述恶意软件的特点,最后提到相关的行动变化。 这样组合起来应该能准确传达文章的核心内容。 </think> 与朝鲜关联的黑客组织利用React服务器组件中的关键漏洞React2Shell部署新型远程访问木马EtherRAT。该恶意软件通过以太坊智能合约实现命令与控制,并采用五种独立的Linux持久化机制及自我更新功能。攻击者还转向使用VS Code作为攻击载体,诱使受害者克隆恶意代码库。 2025-12-9 15:55:0 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

与朝鲜有关联的黑客组织近期开始利用React服务器组件(RSC)中新披露的关键安全漏洞React2Shell,部署一种此前未公开记录的远程访问木马EtherRAT

云安全公司Sysdig在周一发布的报告中指出:"EtherRAT利用以太坊智能合约进行命令与控制(C2)解析,部署了五种独立的Linux持久化机制,并从nodejs.org下载自己的Node.js运行时环境。"

感染链与持久化机制

攻击者首先利用RSC中的高危漏洞(CVE-2025-55182,CVSS评分:10.0)执行Base64编码的shell命令,下载并运行负责部署主JavaScript植入程序的shell脚本。该脚本通过curl命令获取,同时使用wget和python3作为备用方案。脚本会从nodejs.org下载Node.js v20.10.0准备环境,随后将加密数据块和混淆的JavaScript投放器写入磁盘。完成这些步骤后,脚本会自行删除以减少取证痕迹,并运行投放器。

投放器的主要功能是用硬编码密钥解密EtherRAT有效载荷,并通过下载的Node.js二进制文件执行。该恶意软件的独特之处在于采用EtherHiding技术,每五分钟从以太坊智能合约获取C2服务器URL,使攻击者能够轻松更新URL,即使原URL被封锁。

Sysdig强调:"该实现的独特之处在于使用九个公共以太坊远程过程调用(RPC)端点的共识投票机制。EtherRAT并行查询所有九个端点,收集响应,并选择多数返回的URL。这种共识机制可防范多种攻击场景:单个受损RPC端点无法将机器人重定向到陷阱服务器,研究人员也无法通过操作恶意RPC节点来毒化C2解析。"

多平台持久化与自我更新

EtherRAT与C2服务器建立联系后,会进入每500毫秒执行一次的轮询循环,将任何超过10个字符的响应解释为要在受感染机器上运行的JavaScript代码。该恶意软件通过五种不同方法实现持久化:

  • Systemd用户服务
  • XDG自动启动项
  • Cron作业
  • .bashrc注入
  • Profile注入

通过多种机制,攻击者可确保恶意软件在系统重启后仍能运行,保持对受感染系统的持续访问。另一个体现其复杂性的特征是自我更新能力——在将自身源代码发送到API端点后,会用从C2服务器接收到的新代码覆盖自身,然后启动包含更新有效载荷的新进程。值得注意的是,C2服务器返回的是功能相同但混淆方式不同的版本,可能借此绕过基于静态签名的检测。

与Contagious Interview行动的关联

除使用EtherHiding技术外,EtherRAT与Contagious Interview行动的关联还体现在两者使用的加密加载程序模式存在重叠,该模式也出现在已知的JavaScript信息窃取器和下载器BeaverTail中。

Sysdig指出:"EtherRAT代表了React2Shell漏洞利用的重大演变,从机会主义的加密货币挖矿和凭证窃取转向为长期操作设计的持久隐蔽访问。无论这是朝鲜黑客转向新攻击载体,还是其他攻击者借鉴复杂技术,结果都一样:防御者面临一个抵抗传统检测和清除方法的新型植入程序挑战。"

Contagious Interview行动转向VS Code

与此同时,OpenSourceMalware披露了Contagious Interview行动的新变种细节。该变种诱使受害者克隆GitHub、GitLab或Bitbucket上的恶意代码库作为编程测试的一部分,并在Microsoft Visual Studio Code(VS Code)中启动项目。由于tasks.json文件配置了runOptions.runOn: 'folderOpen'参数,项目打开时会自动执行该文件,进而根据受感染主机的操作系统使用curl或wget下载加载程序脚本。

在Linux系统上,下一阶段是下载并运行名为"vscode-bootstrap.sh"的shell脚本,该脚本会获取"package.json"和"env-setup.js"两个文件,后者作为BeaverTail和InvisibleFerret的启动平台。

OpenSourceMalware表示已识别出该行动的13个不同版本,分布在27个GitHub用户中,以及11个不同版本的BeaverTail。最早的代码库可追溯至2025年4月22日,最新版本创建于2025年12月1日。

OpenSourceMalware团队指出:"朝鲜黑客组织已转向Vercel平台,现在几乎完全使用该平台。我们尚不清楚原因,但Contagious Interview行动已停止使用Fly.io、Platform.sh、Render等其他托管服务提供商。"

参考来源:

North Korea-linked Actors Exploit React2Shell to Deploy New EtherRAT Malware

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/461216.html
如有侵权请联系:admin#unsafe.sh