黑客借React2Shell漏洞發起EtherRAT惡意軟件攻擊

在近期的React2Shell漏洞攻擊事件中，一款名為EtherRAT的新型惡意植入程序被安全研究人員發現，該程序不僅內置五種獨立的Linux系統持久化機制，還會借助以太坊智能合約與攻擊者建立通信鏈路。

研究人員認為，這款惡意軟件的特征與朝鮮黑客組織在Contagious Interview攻擊活動中使用的工具相符。他們在React2Shell高危漏洞（CVE-2025-55182）披露僅兩天后，便從某遭入侵的Next.js應用中成功提取到EtherRAT樣本。

EtherRAT整合了多項復雜功能，包括基于區塊鏈的命令與控制（C2）通信、多層Linux持久化、載荷實時重寫，以及依托完整Node.js運行時環境實現的反檢測能力。盡管其與朝鮮Lazarus組織發起的Contagious Interview

React2Shell是React服務端組件（RSC）Flight協議中存在的最高級別反序列化漏洞，攻擊者可通過特制HTTP請求實現無認證遠程代碼執行。

該漏洞影響大量運行React/Next.js的云環境，在上周漏洞公開數小時后便已出現野外利用。隨著自動化攻擊工具的普及，已有跨多個行業的至少30家組織機構遭入侵，攻擊者借此竊取憑證、開展加密貨幣挖礦，并部署通用型后門程序。

EtherRAT的攻擊鏈路

Sysdig指出，EtherRAT采用多階段攻擊鏈路，其流程如下：

1.漏洞利用與初始載荷投放：首先通過React2Shell漏洞在目標設備上執行Base64編碼的Shell命令，該命令會嘗試通過curl、wget或python3（備選）工具下載惡意Shell腳本s.sh，并每300秒循環執行一次直至下載成功。腳本獲取后會先經過校驗，再被賦予可執行權限并啟動。

腳本邏輯

2.運行時環境部署：腳本會在用戶目錄$HOME/.local/share/下創建隱藏文件夾，從nodejs.org直接下載并解壓合法的Node.js v20.10.0運行時環境。隨后寫入加密載荷數據塊與混淆后的JavaScript投放器，通過已下載的Node二進制文件執行投放器，執行完畢后腳本會自行刪除。

3.惡意程序解密與加載：名為.kxnzl4mtez.js的混淆JavaScript投放器會讀取加密數據塊，通過硬編碼的AES-256-CBC密鑰完成解密，并將解密結果寫入另一隱藏JavaScript文件。該解密后的文件即為EtherRAT植入程序，最終通過前一階段安裝的Node.js環境完成部署。

高級植入程序的核心特征

基于以太坊智能合約的C2通信

EtherRAT采用以太坊智能合約實現C2操作，該方式不僅具備靈活的運營能力，還能有效抵御反制與關停措施。其會并行查詢9個公共以太坊RPC節點，并以多數節點的響應結果為準，可防止單點節點投毒或域名劫持攻擊。

此外，該惡意軟件每500毫秒便會向C2發送隨機生成的類CDN格式URL，并通過AsyncFunction構造器執行攻擊者下發的JavaScript代碼，形成可完全交互的Node.js命令行環境。

構建隨機URL

朝鮮黑客此前便曾使用智能合約進行惡意軟件投放與分發，該技術被稱為EtherHiding，谷歌與GuardioLabs均曾發布相關技術報告。

Linux系統的五層持久化機制

EtherRAT在Linux系統中具備極強的持久化能力，通過部署五層冗余機制確?？刂茩嗖粊G失，具體包括：

·定時任務（Cron jobs）

·bashrc配置注入

·XDG自動啟動項

·Systemd用戶服務

·配置文件（Profile）注入

借助多維度持久化手段，即便目標系統經歷重啟或運維操作，攻擊者仍能維持對受感染設備的訪問權限。

自主更新與載荷重混淆能力

EtherRAT的另一獨特功能是可通過向API端點發送自身源代碼實現自主更新。其會接收功能一致但混淆方式不同的替換代碼，完成自身覆蓋后啟動新進程運行更新后的載荷。該機制既能幫助惡意軟件規避靜態檢測，也可阻礙逆向分析，同時支持按需加載特定攻擊功能。

鑒于目前React2Shell漏洞已被多方黑客組織利用，系統管理員需盡快將React/Next.js版本升級至安全版本。研究人員建議用戶應快速排查上述持久化機制的存在痕跡、監控以太坊RPC相關流量、審計應用程序日志，并及時輪換各類賬戶憑證。

參考及來源：https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/