Um novo malware chamado EtherRAT, detectado em um ataque recente que explorou a vulnerabilidade React2Shell, emprega cinco mecanismos distintos de persistência em sistemas Linux e utiliza contratos inteligentes da Ethereum para se comunicar com os atacantes.
Pesquisadores da empresa de segurança em nuvem Sysdig atribuem esse malware a ferramentas associadas à Coreia do Norte, semelhantes às usadas nas campanhas conhecidas como Contagious Interview.
A descoberta do EtherRAT ocorreu a partir de uma aplicação Next.js comprometida, apenas dois dias após a divulgação da grave vulnerabilidade React2Shell, identificada como
CVE-2025-55182
.
O relatório da Sysdig destaca a sofisticação do malware, que combina comunicação via blockchain para controle remoto (C2), múltiplas camadas de persistência no Linux, reescrita dinâmica de payloads e técnicas de evasão por meio de runtime completo em Node.js.
Embora compartilhe semelhanças com as operações Contagious Interview conduzidas pelo grupo Lazarus, o EtherRAT apresenta diferenças importantes.
A falha React2Shell é uma vulnerabilidade crítica de deserialização no protocolo Flight dos React Server Components (RSC), que permite execução remota de código sem autenticação, por meio de requisições HTTP manipuladas.
Essa vulnerabilidade afeta diversos ambientes em nuvem que utilizam React ou Next.js, e sua exploração começou poucas horas após a divulgação pública, na semana passada.
Entre os primeiros grupos a explorá-la estão os atores ligados à China, Earth Lamia e Jackpot Panda.
Em seguida, ataques automatizados se espalharam, e pelo menos 30 organizações de diferentes setores foram comprometidas para roubo de credenciais, mineração de criptomoedas e instalação de backdoors genéricos.
De acordo com a Sysdig, o EtherRAT inicia sua cadeia de ataque explorando o React2Shell para executar um comando shell codificado em base64 na máquina alvo.
Esse comando tenta baixar um script malicioso (s.sh) usando curl, wget ou python3 como alternativas, repetindo a ação a cada 300 segundos até obter sucesso.
Ao receber o script, ele é validado, transformado em executável e rodado.
O script cria um diretório oculto em $HOME/.local/share/ e baixa a versão legítima do runtime Node.js 20.10.0 diretamente do site oficial nodejs.org.
Em seguida, o malware salva um payload criptografado e um dropper JavaScript ofuscado, que é executado pelo runtime Node.js baixado, apagando o script original em seguida.
O dropper JavaScript (.kxnzl4mtez.js) lê o payload criptografado, descriptografa-o com uma chave AES-256-CBC embutida e grava o código decodificado em outro arquivo JavaScript oculto, que corresponde ao implant EtherRAT.
Esse código é executado pelo Node.js instalado anteriormente.
Um diferencial do EtherRAT é o uso de contratos inteligentes da Ethereum para suas operações de comando e controle (C2), garantindo flexibilidade operacional e resistência a bloqueios.
O malware consulta nove provedores públicos de RPC da Ethereum em paralelo, adotando a resposta majoritária para evitar envenenamento ou bloqueio de nós isolados.
Além disso, ele envia URLs randômicas que imitam CDNs para o C2 a cada 500 milissegundos e executa comandos JavaScript recebidos dos operadores por meio de uma função assíncrona, funcionando como um shell Node.js totalmente interativo.
Hackers norte-coreanos já haviam explorado contratos inteligentes para distribuição de malware, técnica conhecida como EtherHiding, documentada em relatórios da Google e GuardioLabs.
Ainda segundo os pesquisadores da Sysdig, o padrão de carregamento criptografado do EtherRAT é semelhante ao do malware BeaverTail, afiliado à Coreia do Norte e vinculado às campanhas Contagious Interview.
Quanto à persistência, o malware demonstra agressividade ao implementar cinco camadas distintas em sistemas Linux para garantir a continuidade do acesso, mesmo após reinicializações:
- Cron jobs
- Injeção no bashrc
- Autostart no XDG
- Serviço de usuário via systemd
- Injeção no profile
Essa redundância dificulta a remoção do malware e assegura o controle contínuo sobre as máquinas comprometidas.
Outro recurso exclusivo é a capacidade de autoatualização: o EtherRAT envia seu código-fonte para um endpoint de API, recebe uma versão atualizada com as mesmas funcionalidades, porém com obfuscação diferenciada, sobrescreve a si mesmo e inicia um novo processo com o payload renovado.
Esse mecanismo contribui para evasão de detecção estática, complica análises e viabiliza a inclusão de funcionalidades específicas para missões determinadas.
Diante da rápida exploração do React2Shell por múltiplos atores, é urgente que administradores de sistemas atualizem suas versões do React/Next.js para versões seguras.
A Sysdig disponibiliza, em seu relatório, uma lista com indicadores de comprometimento (IoCs) relacionados à infraestrutura de staging do EtherRAT e aos contratos Ethereum envolvidos.
Recomenda-se verificar as técnicas de persistência listadas, monitorar o tráfego RPC da Ethereum, analisar registros de aplicações e renovar credenciais para mitigar os riscos associados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...