Nordkorea-tilknyttede aktører udnytter React2Shell

Den mest omtalte sårbarhed i it-sikkerhedskredse, React2Shell, er sårbarheden der bliver ved med at give - eller tage, om man vil. Så meget, at SAMSIK har udsendt en særlig nyhed med en opfordring til organisationer om at handle straks. 

Det seneste nye er - viser en omtale i The Hacker News - at der er observeret en ny bølge af avancerede cyberangreb, hvor trusselsaktører med formodede forbindelser til Nordkorea udnytter den kritiske React2Shell-sårbarhed i React Server Components (RSC) til at distribuere en hidtil ukendt fjernadgangstrojan (RAT) kaldet EtherRAT.

Hvad gør EtherRAT unik?

Ifølge en rapport fra Sysdig, som er refereret til i The Hacker News er EtherRAT ikke blot endnu en RAT (der står for Remote Access Trojan) – den repræsenterer en markant eskalering i angrebsteknikker:

• Command-and-Control via Ethereum: EtherRAT anvender Ethereum smart contracts til at hente C2-adresser, hvilket gør infrastrukturen ekstremt robust og svær at nedlægge. 
• Konsensusmekanisme: Malware kontakter ni offentlige Ethereum RPC-endpoints parallelt og vælger den URL, som flertallet returnerer. Dette beskytter mod forsøg på at omdirigere bots til sinkholes.
• Fem persistensmekanismer:
  • Systemd user service
  • XDG autostart
  • Cron jobs
  • .bashrc-injektion
  • Profil-injektion
• Selvopdatering: EtherRAT kan overskrive sig selv med nye versioner fra C2, hvilket gør statiske signaturer ineffektive.

Angrebskæden

Fejlen gør det muligt for angriberen at eksekvere Base64-kodede shell-kommandoer direkte på det kompromitterede system. Når sårbarheden er udnyttet, hentes et ondsindet shellscript via curl, med wget og python3 som fallback-mekanismer for at sikre, at download-processen lykkes uanset systemets konfiguration. Herefter forbereder scriptet miljøet ved at downloade Node.js version 20.10.0 fra nodejs.org. Dette er en nødvendig komponent for den næste fase, hvor angrebet går over i dropperstadiet. I denne fase skriver malwaren en krypteret blob og et obfuskeret JavaScript-dropper til disk, sletter spor for at minimere den forensiske trail og dekrypterer den egentlige EtherRAT-payload. 

Når EtherRAT er aktiv, etablerer den kommunikation med sin Command-and-Control (C2)-infrastruktur. Dette sker gennem en polling-mekanisme, der kører hvert 500 millisekunder. Enhver respons fra C2-serveren, der er længere end ti tegn, tolkes som JavaScript-kode og eksekveres direkte på den inficerede maskine, hvilket giver angriberne fuld kontrol og mulighed for dynamisk at opdatere funktionaliteten.

Indgang via kampagnen “Contagious Interview”

EtherRAT oplyses at være tæt knyttet til den langvarige kampagne Contagious Interview, som siden februar 2025 har haft øjnene på udviklere via falske jobinterviews og kodetests. Angrebene starter typisk på platforme som LinkedIn, Upwork og Fiverr, hvor aktørerne udgiver sig for at være rekrutteringsfolk med attraktive tilbud. 

Den seneste variant flytter fokus fra npm-pakker til Visual Studio Code. Her udnyttes en konfiguration i tasks.json til automatisk at køre en loader, når projektmappen åbnes. Loaderen henter yderligere scripts, der lancerer kendte malwares som BeaverTail og InvisibleFerret.

Det slærlige ved EtherRAT er, at den kombinerer

• Blockchain-baseret C2, der er næsten umulig at nedlægge.
• Multi-layer persistens, som sikrer overlevelse efter genstart.
• Selvopdatering og obfuskering, der gør klassiske forsvar ineffektive.

Som SysDig ifølge The Hacker News siger: Dette markerer et skift fra opportunistiske angreb til langvarige, stealthy operationer, der kan give aktørerne vedvarende adgang til kompromitterede systemer.

React2Shell - sårbarheden, der er 2025-årets svar på Log4shell.