В опубликованном в понедельник отчете компании Sysdig сообщается, что злоумышленники, связанные с Северной Кореей, начали эксплуатацию критической уязвимости React2Shell (CVE-2025-55182) для развертывания нового трояна удаленного доступа EtherRAT. Данная уязвимость получила максимальную оценку опасности по шкале CVSS — 10.0 баллов. Она нацелена на React Server Components (RSC) и позволяет хакерам выполнять Base64-кодированные команды оболочки для загрузки и запуска скриптов, которые впоследствии разворачивают основной имплант на JavaScript. Эксперты отмечают, что это событие знаменует переход от оппортунистических атак к обеспечению скрытого и устойчивого доступа для проведения долгосрочных операций.
Процесс заражения начинается с получения shell-скрипта через утилиту
Ключевой особенностью EtherRAT является использование техники EtherHiding для управления и контроля (C2). Зловред обращается к смарт-контрактам Ethereum каждые пять минут для получения URL-адреса сервера управления. Уникальным механизмом защиты канала связи стало «голосование консенсусом»: троян параллельно опрашивает девять публичных конечных точек RPC Ethereum и выбирает тот URL, который вернуло большинство источников. Это предотвращает возможность перехвата управления (sinkholing) или отравления данных исследователями безопасности. В активном режиме программа входит в цикл опроса каждые 500 миллисекунд, интерпретируя любые ответы длиннее 10 символов как JavaScript-код для исполнения.
Для обеспечения постоянного присутствия в системе EtherRAT использует пять различных методов, позволяющих пережить перезагрузку устройства. Вредоносное ПО создает пользовательские сервисы Systemd, записи автозапуска XDG, задачи Cron, а также внедряет код в файлы
Эта активность является частью более широкой кампании под названием «Contagious Interview» («Заразное интервью»), которую связывают с хакерами из КНДР. Кампания нацелена на разработчиков блокчейн-технологий и Web3. Злоумышленники действуют через фальшивые собеседования, тестовые задания по написанию кода и видео-оценки на платформах LinkedIn, Upwork и Fiverr. Использование техники EtherHiding в рамках этой операции наблюдается с февраля 2025 года.
Анализ кода выявил прямые связи между зашифрованным загрузчиком EtherRAT и известным инфостилером BeaverTail. Схожие реализации были обнаружены в npm-пакетах
Отдельный вектор атаки, описанный ресурсом OpenSourceMalware, затрагивает пользователей Microsoft Visual Studio Code. Жертв убеждают клонировать вредоносные репозитории с GitHub, GitLab или Bitbucket. Эксплойт срабатывает через файл
Инфраструктура злоумышленников претерпела изменения: они практически полностью перешли на использование платформы Vercel, отказавшись от ранее популярных сервисов , и Render. Это усложняет блокировку управляющих серверов, так как трафик сливается с легитимными запросами к облачным приложениям.
Масштаб операции подтверждается статистическими данными. Исследователи идентифицировали 13 различных версий кампании, нацеленной на VS Code, и 11 версий BeaverTail. Вредоносные репозитории распространялись через 27 различных учетных записей GitHub. Самый ранний из обнаруженных репозиториев,
Изображение носит иллюстративный характер
Процесс заражения начинается с получения shell-скрипта через утилиту
curl, при этом предусмотрены резервные варианты использования wget или python3. Для подготовки среды выполнения вредоносное ПО скачивает официальный бинарный файл Node.js версии v20.10.0 непосредственно с сайта . После этого скрипт удаляет себя для минимизации цифровых следов, расшифровывает полезную нагрузку EtherRAT с помощью жестко закодированного ключа и запускает её, используя загруженный экземпляр Node.js. Ключевой особенностью EtherRAT является использование техники EtherHiding для управления и контроля (C2). Зловред обращается к смарт-контрактам Ethereum каждые пять минут для получения URL-адреса сервера управления. Уникальным механизмом защиты канала связи стало «голосование консенсусом»: троян параллельно опрашивает девять публичных конечных точек RPC Ethereum и выбирает тот URL, который вернуло большинство источников. Это предотвращает возможность перехвата управления (sinkholing) или отравления данных исследователями безопасности. В активном режиме программа входит в цикл опроса каждые 500 миллисекунд, интерпретируя любые ответы длиннее 10 символов как JavaScript-код для исполнения.
Для обеспечения постоянного присутствия в системе EtherRAT использует пять различных методов, позволяющих пережить перезагрузку устройства. Вредоносное ПО создает пользовательские сервисы Systemd, записи автозапуска XDG, задачи Cron, а также внедряет код в файлы
.bashrc и профили пользователя. Для обхода сигнатурного обнаружения троян способен к самообновлению, перезаписывая свой код новыми, функционально идентичными, но иначе обфусцированными версиями, полученными с C2-сервера. Эта активность является частью более широкой кампании под названием «Contagious Interview» («Заразное интервью»), которую связывают с хакерами из КНДР. Кампания нацелена на разработчиков блокчейн-технологий и Web3. Злоумышленники действуют через фальшивые собеседования, тестовые задания по написанию кода и видео-оценки на платформах LinkedIn, Upwork и Fiverr. Использование техники EtherHiding в рамках этой операции наблюдается с февраля 2025 года.
Анализ кода выявил прямые связи между зашифрованным загрузчиком EtherRAT и известным инфостилером BeaverTail. Схожие реализации были обнаружены в npm-пакетах
colortoolsv2 и mimelib2. Компания Socket, специализирующаяся на безопасности цепочек поставок ПО, отмечает, что данная кампания является одной из самых продуктивных в экосистеме npm. Злоумышленники активно используют легитимные инструменты и независимые среды выполнения для маскировки своих действий. Отдельный вектор атаки, описанный ресурсом OpenSourceMalware, затрагивает пользователей Microsoft Visual Studio Code. Жертв убеждают клонировать вредоносные репозитории с GitHub, GitLab или Bitbucket. Эксплойт срабатывает через файл
tasks.json, настроенный с параметром runOptions.runOn: 'folderOpen', что приводит к автоматическому запуску shell-скрипта при открытии проекта. В среде Linux этот процесс инициирует загрузку скрипта vscode-bootstrap.sh, который затем получает файлы package.json и env-setup.js. Последний файл выступает в роли стартовой площадки для запуска вредоносных программ BeaverTail и InvisibleFerret. Инфраструктура злоумышленников претерпела изменения: они практически полностью перешли на использование платформы Vercel, отказавшись от ранее популярных сервисов , и Render. Это усложняет блокировку управляющих серверов, так как трафик сливается с легитимными запросами к облачным приложениям.
Масштаб операции подтверждается статистическими данными. Исследователи идентифицировали 13 различных версий кампании, нацеленной на VS Code, и 11 версий BeaverTail. Вредоносные репозитории распространялись через 27 различных учетных записей GitHub. Самый ранний из обнаруженных репозиториев,
github[.]com/MentarisHub121/TokenPresaleApp, датируется 22 апреля 2025 года, а наиболее свежий, github[.]com/eferos93/test4, был выявлен 1 декабря 2025 года.
