Los actores de amenazas con vínculos con Corea del Ideal probablemente se hayan convertido en los últimos en explotar la rotura crítica de seguridad React2Shell recientemente revelada en React Server Components (RSC) para entregar un troyano de paso remoto previamente indocumentado denominado ÉterRAT.
“EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), implementa cinco mecanismos independientes de persistencia de Linux y descarga su propio tiempo de ejecución Node.js desde nodejs.org”, dijo Sysdig en un documentación publicado el lunes.
La empresa de seguridad en la aglomeración dijo que la actividad muestra una superposición significativa con una campaña de larga duración con nombre en código Contagious Interview, que se ha observado aprovechando la técnica EtherHiding para distribuir malware desde febrero de 2025.
Contagious Interview es el nombre que se le da a una serie de ataques en los que los desarrolladores de blockchain y Web3, entre otros, son atacados a través de entrevistas de trabajo falsas, tareas de codificación y evaluaciones en video, lo que conduce a la implementación de malware. Estos esfuerzos suelen comenzar con una artimaña que atrae a las víctimas a través de plataformas como LinkedIn, Upwork o Fiverr, donde los actores de la amenaza se hacen advenir por reclutadores que ofrecen lucrativas oportunidades laborales.
Según la empresa de seguridad de la esclavitud de suministro de software Socket, es una de las campañas más prolíficas que explota el ecosistema npm, destacando su capacidad para adaptarse a JavaScript y a flujos de trabajo centrados en criptomonedas.
La esclavitud de ataque comienza con la explotación de CVE-2025-55182 (puntaje CVSS: 10.0), una vulnerabilidad de seguridad de máxima reserva en RSC, para ejecutar un comando de shell codificado en Base64 que descarga y ejecuta un script de shell responsable de implementar el implante principal de JavaScript.
El script de shell se recupera mediante un comando curl, con wget y python3 como opciones alternativas. Incluso está diseñado para preparar el entorno descargando Node.js v20.10.0 desde nodejs.org, tras lo cual escribe en el disco un blob secreto y un cuentagotas de JavaScript ofuscado. Una vez que se completan todos estos pasos, procede a eliminar el script de shell para minimizar el rastra forense y ejecuta el cuentagotas.
El objetivo principal del cuentagotas es descifrar la carga útil de EtherRAT con una esencia codificada y generarla utilizando el binario Node.js descargado. El malware se destaca por usar EtherHiding para obtener la URL del servidor C2 de un arreglo inteligente de Ethereum cada cinco minutos, lo que permite a los operadores desempolvar la URL fácilmente, incluso si se elimina.
“Lo que hace que esta implementación sea única es su uso de votación por consenso en nueve puntos finales públicos de citación a procedimiento remoto (RPC) de Ethereum”, dijo Sysdig. “EtherRAT consulta los nueve puntos finales en paralelo, recopila respuestas y selecciona la URL devuelta por la mayoría”.
“Este mecanismo de consenso protege contra varios escenarios de ataque: un único punto final RPC comprometido no puede redirigir a los robots a un sumidero, y los investigadores no pueden envenenar la resolución C2 operando un nodo RPC no facultado”.
Vale la pena señalar que anteriormente se observó una implementación similar en dos paquetes npm llamados colortoolsv2 y mimelib2 que entregaban malware de descarga en los sistemas de los desarrolladores.
Una vez que EtherRAT establece contacto con el servidor C2, ingresa a un ciclo de sonsaca que se ejecuta cada 500 milisegundos, interpretando cualquier respuesta que tenga más de 10 caracteres como código JavaScript que se ejecutará en la máquina infectada. La persistencia se logra mediante el uso de cinco métodos diferentes:
- servicio de afortunado systemd
- Entrada de inicio inevitable XDG
- Trabajos cron
- inyección .bashrc
- Inyección de perfil
Al utilizar múltiples mecanismos, los actores de amenazas pueden avalar que el malware se ejecute incluso posteriormente de reiniciar el sistema y les otorgue paso continuo a los sistemas infectados. Otra señal que apunta a la sofisticación del malware es la capacidad de autoactualización que se sobrescribe con el nuevo código recibido del servidor C2 posteriormente de expedir su propio código fuente a un punto final API.
Luego inicia un nuevo proceso con la carga útil actualizada. Lo que es sobresaliente aquí es que el C2 devuelve una lectura funcionalmente idéntica pero diferentemente ofuscada, lo que posiblemente le permita evitar la detección estática basada en firmas.
Encima del uso de EtherHiding, los enlaces a Contagious Interview surgen de superposiciones entre el patrón de carga secreto utilizado en EtherRAT y un conocido carero y descargador de información JavaScript llamado BeaverTail.
“EtherRAT representa una cambio significativa en la explotación de React2Shell, yendo más allá de la criptominería oportunista y el robo de credenciales alrededor de un paso persistente y sigiloso diseñado para operaciones a desprendido plazo”, dijo Sysdig.
“Ya sea que esto represente que los actores norcoreanos recurran a nuevos vectores de explotación o que otro actor tome prestadas técnicas sofisticadas, el resultado es el mismo: los defensores enfrentan un nuevo implante desafiante que resiste los métodos tradicionales de detección y exterminio”.
La entrevista contagiosa cambia de npm a VS Code
La divulgación se produce cuando OpenSourceMalware reveló detalles de una nueva variable de Entrevista Contagiosa que insta a las víctimas a clonar un repositorio malvado en GitHub, GitLab o Bitbucket como parte de una tarea de programación y editar el plan en Microsoft Visual Studio Code (VS Code).
Esto da como resultado la ejecución de un archivo Tasks.json de VS Code oportuno a que está configurado con runOptions.runOn: ‘folderOpen’, lo que hace que se ejecute automáticamente tan pronto como se abre el plan. El archivo está diseñado para descargar un script de carga usando curl o wget según el sistema operante del host comprometido.
En el caso de Linux, la subsiguiente etapa es un script de shell que descarga y ejecuta otro script de shell llamado “vscode-bootstrap.sh”, que luego recupera dos archivos más, “package.json” y “env-setup.js”, el zaguero de los cuales sirve como plataforma de divulgación para BeaverTail e InvisibleFerret.
OpenSourceMalware dijo que identificó 13 versiones diferentes de esta campaña repartidas en 27 usuarios diferentes de GitHub y 11 versiones diferentes de BeaverTail. El repositorio más antiguo (“github(.)com/MentarisHub121/TokenPresaleApp”) se remonta al 22 de abril de 2025, y la lectura más fresco (“github(.)com/eferos93/test4”) se creó el 1 de diciembre de 2025.
“Los actores de amenazas de la RPDC han acudido en masa a Vercel y ahora lo utilizan casi exclusivamente”, dijo el equipo de OpenSourceMalware. “No sabemos por qué, pero Contagious Interview ha dejado de usar Fly.io, Platform.sh, Render y otros proveedores de alojamiento”.
