Los atacantes vinculados a Corea del Norte pueden haberse convertido en los últimos en explotar una falla de seguridad crítica de React2Shell revelada recientemente en React Server Components (RSC) para entregar un troyano de acceso remoto previamente indocumentado llamado EtherRAT.
«EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), implementa cinco mecanismos independientes de persistencia de Linux y descarga su propio tiempo de ejecución Node.js desde nodejs.org», dijo Sysdig en un informe publicado el lunes.
La empresa de seguridad en la nube dijo que esta actividad muestra una superposición significativa con una campaña de larga duración denominada «Entrevista contagiosa», que se ha observado aprovechando la tecnología EtherHiding para distribuir malware desde febrero de 2025.
Contagious Interview es el nombre que se le da a una serie de ataques dirigidos a desarrolladores de blockchain y Web3 y otros a través de entrevistas de trabajo falsas, desafíos de codificación y evaluaciones en video, lo que conduce a la implementación de malware. Estos esfuerzos suelen comenzar con una artimaña para atraer a las víctimas a través de plataformas como LinkedIn, Upwork y Fiverr, donde el actor de la amenaza se hace pasar por un reclutador que ofrece lucrativas oportunidades laborales.
Según la empresa de seguridad de la cadena de suministro de software Socket, esta es una de las campañas más prolíficas que explota el ecosistema npm, destacando su capacidad para adaptarse a JavaScript y a flujos de trabajo centrados en criptomonedas.
La cadena de ataque comienza explotando la vulnerabilidad de seguridad de mayor gravedad de RSC, CVE-2025-55182 (puntaje CVSS: 10.0), ejecutando un comando de shell codificado en Base64 que descarga y ejecuta un script de shell responsable de implementar el implante principal de JavaScript.
Los scripts de Shell se obtienen usando el comando curl, usando wget y python3 como alternativas. También está diseñado para preparar el entorno descargando Node.js v20.10.0 desde nodejs.org y luego escribe un blob cifrado y un cuentagotas de JavaScript ofuscado en el disco. Una vez que se hayan completado todos estos pasos, proceda a eliminar el script de shell, minimice el rastro forense y ejecute el cuentagotas.
El objetivo principal del dropper es descifrar la carga útil de EtherRAT utilizando una clave codificada y generarla utilizando el binario Node.js descargado. El malware se destaca por usar EtherHiding para recuperar la URL del servidor C2 de un contrato inteligente de Ethereum cada cinco minutos, lo que permite a los operadores actualizar fácilmente la URL incluso si se elimina.
«Lo que hace que esta implementación sea única es el uso de la votación por consenso en nueve puntos finales públicos de llamada a procedimiento remoto (RPC) de Ethereum», dijo Sysdig. «EtherRAT consulta los nueve puntos finales en paralelo, recopila las respuestas y selecciona las URL devueltas por una gran cantidad de puntos finales».
«Este mecanismo de consenso protege contra varios escenarios de ataque: un único punto final RPC comprometido no puede redirigir los robots a un sumidero y los investigadores no pueden manipular nodos RPC no autorizados para interrumpir la resolución C2».
Vale la pena señalar que anteriormente se observaron implementaciones similares en dos paquetes npm llamados colortoolsv2 y mimelib2 que distribuían malware de descarga a los sistemas de desarrolladores.
Una vez que EtherRAT establece una conexión con un servidor C2, ingresa a un ciclo de sondeo que se ejecuta cada 500 milisegundos e interpreta respuestas de más de 10 caracteres como código JavaScript que se ejecuta en la máquina infectada. La persistencia se logra utilizando cinco métodos diferentes.
Servicio de usuario Systemd XDG Entrada de inicio automático Trabajo cron Inyección de perfil de inyección .bashrc
Utilizando múltiples mecanismos, los actores de amenazas pueden garantizar que el malware se ejecute incluso después de reiniciar el sistema, permitiendo el acceso continuo a los sistemas infectados. Otro signo de la sofisticación del malware es su capacidad de autoactualizarse enviando su propio código fuente a un punto final API y luego sobrescribiéndolo con el nuevo código recibido del servidor C2.
Luego inicia un nuevo proceso con la carga útil actualizada. Vale la pena señalar aquí que el C2 devuelve una versión ofuscada funcionalmente idéntica pero diferente, lo que potencialmente le permite evitar la detección estática basada en firmas.
Además del uso de EtherHiding, el enlace a Contagious Interview surge de la superposición entre el patrón de carga cifrado utilizado por EtherRAT y un conocido ladrón y descargador de información JavaScript llamado BeaverTail.
«EtherRAT representa una evolución importante en la explotación de React2Shell, yendo más allá de la criptominería oportunista y el robo de credenciales hacia un acceso persistente y sigiloso diseñado para una operación a largo plazo», dijo Sysdig.
“Ya sea que esto represente a los atacantes norcoreanos recurriendo a nuevos vectores de explotación o a una tecnología avanzada tomada prestada por otro actor de amenazas, el resultado es el mismo: los defensores se enfrentan a un nuevo implante difícil que resiste los métodos tradicionales de detección y eliminación”.
La entrevista contagiosa se trasladó de npm a VS Code
Esta divulgación se produce cuando OpenSourceMalware detalla una nueva variante de Entrevista Contagiosa que solicita a las víctimas clonar un repositorio malicioso en GitHub, GitLab o Bitbucket y lanzar un proyecto en Microsoft Visual Studio Code (VS Code) como parte de un desafío de programación.
Esto ejecuta el archivo task.json de VS Code, que está configurado con runOptions.runOn: ‘folderOpen’, y se ejecuta automáticamente tan pronto como se abre el proyecto. Este archivo está diseñado para descargar el script del cargador usando curl o wget según el sistema operativo del host comprometido.
Para Linux, el siguiente paso es un script de shell que descarga y ejecuta otro script de shell llamado «vscode-bootstrap.sh». A continuación, busque dos archivos más: «package.json» y «env-setup.js». Este último sirve como plataforma de lanzamiento para BeaverTail e InvisibleFerret.
OpenSourceMalware dijo que ha identificado 13 versiones diferentes de esta campaña difundidas a 27 usuarios diferentes de GitHub, así como 11 versiones diferentes de BeaverTail. El primer repositorio (‘github(.)com/MentarisHub121/TokenPresaleApp’) se remonta al 22 de abril de 2025, y la última versión (‘github(.)com/eferos93/test4’) se creó el 1 de diciembre de 2025.
El equipo de OpenSourceMalware declaró que «los actores de amenazas norcoreanos han acudido en masa a Vercel y ahora lo utilizan casi exclusivamente». «Por razones desconocidas, Contagious Interview dejó de usar Fly.io, Platform.sh, Render y otros proveedores de alojamiento».
Source link
