Пять способов перезапуска, девять узлов Ethereum и самообновление. На что ещё способен EtherRAT?

Появление нового вредоносного инструмента в цепочке атак React2Shell стало заметным событием на фоне волны взломов, начавшейся после раскрытия уязвимости CVE-2025-55182. На этот раз речь идёт о гораздо более сложном механизме, чем ранее наблюдавшиеся попытки внедрения криптомайнеров или сборщиков данных. Команда Sysdig TRT выявила необычный компонент, получивший название EtherRAT, который использует сочетание техник из разных кампаний и показывает значительный рост подготовки со стороны злоумышленников.

Специалисты Sysdig обнаружили EtherRAT 5 декабря в скомпрометированном приложении Next.js всего через два дня после публикации критической проблемы в React Server Components. Уязвимость позволяет выполнить произвольный код через один HTTP-запрос, чем активно воспользовались разные группировки. Но новый сценарий атаки выделяется глубиной и продуманностью. Вместо стандартных команд оболочки и жёстко заданных серверов управления здесь применяются собственная цепочка загрузки, внешний JavaScript-компонент и технология управления через блокчейн.

Атака разворачивается по четырёхступенчатой схеме. Сначала выполняется закодированная команда, запускающая загрузчик, который пытается получить скрипт разными способами и перезапускает процесс при неудаче. Далее на устройство загружается официальный дистрибутив Node.js, что скрывает вредоносную активность среди легитимного трафика. После этого запускается шифрованный компонент, расшифровывающий основной модуль. Финальный этап — постоянный модуль EtherRAT, который создаёт устойчивую точку присутствия и поддерживает связь с операторами.

Самым необычным элементом стала система управления через смарт-контракт Ethereum. Вредоносный модуль регулярно обращается к контракту, запрашивая актуальный адрес управляющего сервера. При этом используется девять публичных RPC-узлов, а итоговый адрес выбирается по принципу большинства, что делает перенаправление или блокировку крайне затруднительными. Такой подход уже встречался в отдельных вредоносных пакетах для NPM, но реализация EtherRAT оказалась значительно сложнее и устойчивее.

Получив адрес сервера, вредоносный модуль начинает постоянный опрос, маскируя сетевую активность под загрузку статических ресурсов. Если сервер возвращает код, он выполняется как JavaScript с доступом к системным функциям, что даёт операторам полноценное удалённое управление.

Для сохранения присутствия EtherRAT использует пять каналов автозапуска: службу systemd в окружении пользователя, точку запуска XDG, запись в cron, а также изменения в .bashrc и .profile. Применение множества независимых механизмов повышает вероятность выживания после перезагрузки и администрирования системы.

Дополнительную скрытность обеспечивает функция обновления: при первом успешном соединении модуль отправляет свой код на сервер, получает изменённую версию и заменяет себя новой сборкой. Это усложняет анализ и использование сигнатурных методов обнаружения.

По набору применённых техник EtherRAT демонстрирует близость к инструментам, ранее связываемым со структурами КНДР, включая элементы, характерные для кампании Contagious Interview. Однако более агрессивная схема закрепления, новый вектор проникновения и расширенные механизмы управления позволяют предположить как эволюцию известных инструментов, так и возможное использование общих наработок разными группировками. Наблюдаемая активность существенно отличается от действий китайских команд, которые в рамках React2Shell ограничивались привычными бэкдорами вроде Cobalt Strike и меньшим количеством средств закрепления.

Специалисты подчёркивают необходимость отслеживать обращения к узлам Ethereum, а также аномальные запросы к nodejs.org и скачивание скриптов с произвольными именами. EtherRAT использует рандомизированные каталоги и скрытые файлы, поэтому внимание стоит уделять признакам поведения, а не конкретным путям.