Các tác nhân đe dọa có liên hệ với Triều Tiên nhiều khả năng là những người mới nhất khai thác lỗ hổng bảo mật nghiêm trọng React2Shell flaw vừa được công bố trong React Server Components (RSC) để phát tán một loại trojan truy cập từ xa chưa từng được ghi nhận trước đây có tên EtherRAT.
EtherRAT tận dụng các Ethereum smart contracts để phân giải C2, triển khai năm cơ chế duy trì trên Linux độc lập, và tải xuống Node.js runtime của riêng nó từ nodejs.org,
Sysdig cho biết trong một báo cáo công bố vào thứ Hai.
Công ty bảo mật đám mây này cho biết hoạt động này có sự trùng lặp đáng kể với một chiến dịch kéo dài có tên mã Contagious Interview, được quan sát thấy đã tận dụng kỹ thuật EtherHiding để phát tán mã độc từ tháng 2 năm 2025.
Contagious Interview là tên được đặt cho một loạt các cuộc tấn công nhắm vào các nhà phát triển blockchain và Web3, cùng với những người khác, thông qua các buổi phỏng vấn xin việc giả mạo, bài tập lập trình và đánh giá video, dẫn đến việc triển khai mã độc. Những nỗ lực này thường bắt đầu bằng một mánh khóe lừa đảo nạn nhân qua các nền tảng như LinkedIn, Upwork hoặc Fiverr, nơi các tác nhân đe dọa giả danh nhà tuyển dụng để đưa ra các cơ hội việc làm hấp dẫn.
Theo công ty bảo mật chuỗi cung ứng phần mềm Socket, đây là một trong những chiến dịch phổ biến nhất khai thác hệ sinh thái npm, cho thấy khả năng thích ứng của chúng với các quy trình làm việc tập trung vào JavaScript và tiền điện tử.
Chuỗi tấn công bắt đầu bằng việc khai thác CVE-2025-55182 (CVSS score: 10.0), một lỗ hổng bảo mật nghiêm trọng ở mức tối đa trong RSC, để thực thi một lệnh shell được mã hóa Base64 nhằm tải xuống và chạy một shell script chịu trách nhiệm triển khai mã độc JavaScript chính.
Shell script được truy xuất bằng lệnh curl, với wget và python3 được sử dụng làm phương án dự phòng. Nó cũng được thiết kế để chuẩn bị môi trường bằng cách tải xuống Node.js v20.10.0 từ nodejs.org, sau đó ghi một blob được mã hóa và một JavaScript dropper đã bị làm rối vào đĩa. Sau khi hoàn thành tất cả các bước này, nó sẽ xóa shell script để giảm thiểu dấu vết pháp y và chạy dropper.
Mục tiêu chính của dropper là giải mã payload EtherRAT bằng một khóa được mã hóa cứng và khởi chạy nó bằng Node.js binary đã tải xuống. Mã độc này đáng chú ý vì sử dụng EtherHiding để lấy URL máy chủ C2 từ một Ethereum smart contract cứ sau năm phút, cho phép các tác nhân dễ dàng cập nhật URL, ngay cả khi nó bị gỡ xuống.
Điều làm cho việc triển khai này trở nên độc đáo là việc sử dụng bỏ phiếu đồng thuận trên chín Ethereum remote procedure call (RPC) endpoints công khai,
Sysdig cho biết.
EtherRAT truy vấn tất cả chín endpoint song song, thu thập phản hồi và chọn URL được trả về bởi đa số.
Cơ chế đồng thuận này bảo vệ chống lại một số kịch bản tấn công: một RPC endpoint bị xâm nhập duy nhất không thể chuyển hướng bot đến sinkhole, và các nhà nghiên cứu không thể làm nhiễu C2 resolution bằng cách vận hành một RPC node độc hại.
Điều đáng chú ý là một triển khai tương tự đã được quan sát trước đây trong hai gói npm có tên colortoolsv2 và mimelib2 được phát hiện là đã phân phối mã độc downloader trên hệ thống của nhà phát triển.
Khi EtherRAT thiết lập kết nối với máy chủ C2, nó sẽ đi vào một vòng lặp thăm dò thực thi cứ sau 500 mili giây, diễn giải bất kỳ phản hồi nào dài hơn 10 ký tự là JavaScript code để chạy trên máy bị nhiễm. Cơ chế duy trì được thực hiện bằng cách sử dụng năm phương pháp khác nhau -
- Systemd user service
- XDG autostart entry
- Cron jobs
- .bashrc injection
- Profile injection
Bằng cách sử dụng nhiều cơ chế, các tác nhân đe dọa có thể đảm bảo mã độc chạy ngay cả sau khi hệ thống khởi động lại và cấp cho chúng quyền truy cập liên tục vào các hệ thống bị nhiễm. Một dấu hiệu khác cho thấy sự tinh vi của mã độc là khả năng tự cập nhật, ghi đè chính nó bằng mã mới nhận được từ máy chủ C2 sau khi gửi mã nguồn của chính nó đến một API endpoint.
Sau đó, nó khởi chạy một tiến trình mới với payload đã cập nhật. Điều đáng chú ý ở đây là C2 trả về một phiên bản chức năng giống hệt nhưng được làm rối khác nhau, do đó có thể cho phép nó bỏ qua việc phát hiện dựa trên chữ ký tĩnh.
Ngoài việc sử dụng EtherHiding, các liên kết đến Contagious Interview xuất phát từ sự trùng lặp giữa mẫu loader được mã hóa được sử dụng trong EtherRAT và một JavaScript information stealer và downloader đã biết có tên BeaverTail.
EtherRAT đại diện cho một sự phát triển đáng kể trong việc khai thác React2Shell, vượt ra ngoài việc cryptomining cơ hội và đánh cắp thông tin xác thực để hướng tới quyền truy cập bền bỉ, lén lút được thiết kế cho các hoạt động dài hạn,
Sysdig cho biết.
Cho dù điều này đại diện cho các tác nhân Triều Tiên chuyển sang các vector khai thác mới hay việc vay mượn kỹ thuật tinh vi của một tác nhân khác, kết quả vẫn như nhau: các nhà phòng thủ phải đối mặt với một implant mới đầy thách thức chống lại các phương pháp phát hiện và gỡ bỏ truyền thống.
Contagious Interview chuyển đổi từ npm sang VS Code
Thông tin này được tiết lộ khi OpenSourceMalware tiết lộ chi tiết về một biến thể Contagious Interview mới, trong đó các nạn nhân được thúc giục sao chép một repository độc hại trên GitHub, GitLab hoặc Bitbucket như một phần của bài tập lập trình và khởi chạy dự án trong Microsoft Visual Studio Code (VS Code).
Điều này dẫn đến việc thực thi một tệp tasks.json của VS Code do nó được cấu hình với runOptions.runOn: 'folderOpen,' khiến nó tự động chạy ngay sau khi dự án được mở. Tệp này được thiết kế để tải xuống một loader script bằng curl hoặc wget tùy thuộc vào hệ điều hành của máy chủ bị xâm nhập.
Trong trường hợp Linux, giai đoạn tiếp theo là một shell script tải xuống và chạy một shell script khác có tên "vscode-bootstrap.sh", sau đó nó tìm nạp thêm hai tệp, "package.json" và "env-setup.js", trong đó tệp sau đóng vai trò là bệ phóng cho BeaverTail và InvisibleFerret.
OpenSourceMalware cho biết họ đã xác định được 13 phiên bản khác nhau của chiến dịch này trải rộng trên 27 người dùng GitHub khác nhau và 11 phiên bản BeaverTail khác nhau. Repository sớm nhất ("github[.]com/MentarisHub121/TokenPresaleApp") có từ ngày 22 tháng 4 năm 2025, và phiên bản gần đây nhất ("github[.]com/eferos93/test4") được tạo vào ngày 1 tháng 12 năm 2025.
Các tác nhân đe dọa DPRK đã đổ xô đến Vercel và hiện đang sử dụng nó gần như độc quyền,
nhóm OpenSourceMalware cho biết.
Chúng tôi không biết lý do tại sao, nhưng Contagious Interview đã ngừng sử dụng Fly.io, Platform.sh, Render và các nhà cung cấp dịch vụ lưu trữ khác.
