React2Shell高危漏洞遭利用：朝鲜黑客部署新型EtherRAT跨平台恶意软件

与朝鲜有关联的黑客组织近期开始利用 React 服务器组件（RSC）中新披露的关键安全漏洞 React2Shell（CVE-2025-55182，CVSS 评分：10.0），部署一种此前未公开记录的远程访问木马 EtherRAT。

云安全公司 Sysdig 在报告中指出：“EtherRAT 利用以太坊智能合约进行命令与控制（C2）解析，部署了五种独立的 Linux 持久化机制，并从 nodejs.org 下载自己的 Node.js 运行时环境。”

感染链与持久化机制

攻击者首先利用 React2Shell 漏洞执行经过 Base64 编码的 shell 命令，下载并运行一个负责部署主 JavaScript 植入程序的 Shell 脚本。该脚本通过 curl 命令获取，并同时使用 wget 和 python3 作为备用方案。

脚本首先会从 nodejs.org 下载 Node.js v20.10.0 以准备环境，随后将加密数据块和混淆的 JavaScript 投放器写入磁盘。完成后，脚本会自行删除以减少取证痕迹，并执行投放器。

投放器的主要功能是使用硬编码密钥解密 EtherRAT 有效载荷，并通过下载的 Node.js 二进制文件执行。该恶意软件的独特之处在于采用了 EtherHiding 技术，每五分钟会从以太坊智能合约获取最新的 C2 服务器 URL，这使得攻击者能够轻松更新 URL，即使原 URL 被封锁。

Sysdig 强调：“该实现的独特之处在于使用了九个公共以太坊远程过程调用（RPC）端点的共识投票机制。EtherRAT 并行查询所有九个端点，收集响应，并选择多数返回的 URL。这种共识机制可防范多种攻击场景：单个受损的 RPC 端点无法将机器人重定向到陷阱服务器，研究人员也无法通过操作恶意 RPC 节点来毒化 C2 解析。”

多平台持久化与自我更新

EtherRAT 与 C2 服务器建立联系后，会进入一个每 500 毫秒执行一次的轮询循环，它将任何超过 10 个字符的响应解释为要在受感染机器上运行的 JavaScript 代码。该恶意软件通过五种不同方法实现持久化，以确保在系统重启后仍能运行：

• Systemd 用户服务
• XDG 自动启动项
• Cron 作业
• .bashrc 注入
• Profile 注入

另一个体现其复杂性的特征是自我更新能力。恶意软件在将自身源代码发送到 C2 API 端点后，会用从服务器接收到的新代码覆盖自身，然后启动一个包含更新有效载荷的新进程。值得注意的是，C2 服务器返回的是功能相同但混淆方式不同的版本，这可能是为了绕过基于静态签名的检测。

与 Contagious Interview 行动的关联

除了使用 EtherHiding 技术外，EtherRAT 与已知的朝鲜黑客行动 “Contagious Interview” 的关联还体现在两者使用的加密加载程序模式存在重叠，该模式也出现在已知的 JavaScript 信息窃取器和下载器 BeaverTail 中。

Sysdig 指出：“EtherRAT 代表了 React2Shell 漏洞利用的重大演变，从机会主义的加密货币挖矿和凭证窃取，转向为长期操作设计的持久、隐蔽访问。无论这是朝鲜黑客转向新攻击载体，还是其他攻击者借鉴了复杂技术，结果都一样：防御者面临一个能抵抗传统检测和清除方法的新型植入程序挑战。”

Contagious Interview 行动转向 VS Code

与此同时，OpenSourceMalware 披露了 Contagious Interview 行动的一个新变种。该变种诱使受害者克隆托管在 GitHub、GitLab 或 Bitbucket 上的恶意代码库，作为“编程测试”的一部分，并在 Microsoft Visual Studio Code（VS Code）中打开项目。

由于项目中的 tasks.json 文件配置了 runOptions.runOn: 'folderOpen' 参数，项目打开时会自动执行该文件，进而根据受感染主机的操作系统使用 curl 或 wget 下载加载程序脚本。

在 Linux 系统上，下一阶段是下载并运行名为 “vscode-bootstrap.sh” 的 shell 脚本，该脚本会获取 “package.json” 和 “env-setup.js” 两个文件，后者充当 BeaverTail 和 InvisibleFerret 等恶意软件的启动平台。

OpenSourceMalware 表示已识别出该行动的 13 个不同版本，分布在 27 个 GitHub 账号中，以及 11 个不同版本的 BeaverTail。最早的代码库可追溯至 2025 年 4 月 22 日，最新版本创建于 2025 年 12 月 1 日。

该团队指出：“朝鲜黑客组织已转向 Vercel 平台，现在几乎完全使用该平台。我们尚不清楚原因，但 Contagious Interview 行动已停止使用 Fly.io、Platform.sh、Render 等其他托管服务提供商。”

这一系列攻击表明，高级持续性威胁（APT）组织正在不断进化其工具链和攻击面，利用流行的开发工具和云服务来增强其攻击的隐蔽性和成功率，对现代 网络安全 防御体系构成了持续挑战。