FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

在"React2Shell"危机持续升级的警报声中，安全研究人员发现了一种利用以太坊区块链隐藏行踪的新型复杂恶意软件。Sysdig威胁研究团队（TRT）在React服务器组件灾难性漏洞公开披露仅48小时后，就发现了这款名为EtherRAT的持久性植入程序。

2025年12月5日，在针对CVE-2025-55182（一个严重的远程代码执行漏洞）的投机性攻击浪潮中，Sysdig研究人员偶然发现了比常见加密货币挖矿程序危险得多的新型威胁。

当大多数早期攻击者还在进行"打了就跑"的简单攻击时，这种新型威胁已经开始深度潜伏。报告指出："Sysdig TRT从遭入侵的Next.js应用程序中提取出新型植入程序...这个被命名为EtherRAT的有效载荷展现出更为复杂的特性。"

EtherRAT最显著的特征是其命令与控制（C2）机制。它不再连接可能被防火墙拦截的可疑服务器，而是转向以太坊区块链的不可篡改账本。报告解释称："EtherRAT利用以太坊智能合约实现命令与控制（C2）解析。"通过将流量伪装成与区块链的合法交互，这种恶意软件变得极难清除——毕竟无法简单地关闭一个去中心化网络。

最令人不安的或许是该恶意软件的来源。Sysdig的分析发现，EtherRAT与朝鲜国家支持的黑客组织先前使用的工具存在惊人相似之处。研究人员指出："Sysdig TRT的分析显示，该软件与朝鲜相关的'传染性面试'（DPRK）工具存在显著重叠。"这表明臭名昭著的Lazarus组织或其附属机构（追踪编号UNC5342）要么迅速转向利用React漏洞，要么正在与其他国家支持的黑客组织共享其先进武器库。

EtherRAT专为极端持久性而设计。它不仅会安装自身，还会深度扎根。该恶意软件"部署了五种独立的Linux持久化机制"，确保即使发现并清除了一个立足点，其他机制仍能保持活跃。此外，为规避检测特征，它还自带运行时环境。恶意软件"从nodejs.org下载自己的Node.js运行时"，将恶意执行过程与标准可信的软件进程混为一体。

这一发现标志着React2Shell漏洞利用方式的重大转变。最初只是低级网络犯罪分子的狂欢，如今已迅速演变为高级持续性威胁（APT）的攻击媒介。正如报告总结所言，这一进展表明"朝鲜民主主义人民共和国（DPRK）黑客已转向利用React2Shell漏洞，或者国家支持的黑客组织之间正在进行复杂的工具共享"。

参考来源：

EtherRAT Malware Hijacks Ethereum Blockchain for Covert C2 After React2Shell Exploit

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）