Los actores de amenazas con vínculos con Corea del Norte probablemente sean los últimos en explotar la vulnerabilidad crítica React2Shell recientemente revelada en React Server Components (RSC) para lanzar un troyano de acceso remoto previamente no documentado llamado ” ÉterRAT.
“EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), proporciona cinco mecanismos independientes de persistencia de Linux y descarga su propio tiempo de ejecución Node.js desde nodejs.org”, dijo Sysdig en un informe publicado el lunes.
La empresa de seguridad en la nube dijo que la actividad tiene una superposición significativa con una campaña de larga duración denominada “Entrevista contagiosa”, que se ha observado desde febrero de 2025 que utiliza la técnica EtherHiding para difundir malware.
Contagious Interview es una serie de ataques dirigidos a desarrolladores de blockchain y Web3, entre otros, a través de entrevistas falsas, tareas de codificación y evaluaciones en video, lo que resulta en el uso de malware. Estos esfuerzos suelen comenzar con una artimaña que atrae a las víctimas a través de plataformas como LinkedIn, Upwork o Fiverr, donde los actores de la amenaza se hacen pasar por reclutadores que ofrecen lucrativas oportunidades laborales.
Según la empresa de seguridad de la cadena de suministro de software Socket, esta es una de las campañas más prolíficas que explota el ecosistema npm, destacando su capacidad para adaptarse a JavaScript y a flujos de trabajo centrados en criptomonedas.
La cadena de ataque comienza explotando CVE-2025-55182 (puntaje CVSS: 10.0), una vulnerabilidad de máxima gravedad en RSC, para ejecutar un comando de shell codificado en Base64 que descarga y ejecuta un script de shell responsable de implementar el implante principal de JavaScript.
El script de shell se recupera con un comando curl, utilizando wget y python3 como opciones alternativas. También sirve para preparar el entorno descargando Node.js v20.10.0 desde nodejs.org y luego escribiendo un blob cifrado y un cuentagotas de JavaScript ofuscado en el disco. Una vez que se completan todos estos pasos, elimina el script de shell para minimizar el seguimiento forense y ejecuta el cuentagotas.
El objetivo principal del dropper es descifrar la carga útil de EtherRAT con una clave codificada y generarla utilizando el binario Node.js descargado. El malware se destaca por usar EtherHiding para recuperar la URL del servidor C2 de un contrato inteligente de Ethereum cada cinco minutos, lo que permite a los operadores actualizar fácilmente la URL incluso si se elimina.
“Lo que hace que esta implementación sea única es el uso de la votación por consenso en nueve puntos finales públicos de llamada a procedimiento remoto (RPC) de Ethereum”, dijo Sysdig. “EtherRAT sondea los nueve puntos finales en paralelo, recopila respuestas y selecciona la URL devuelta por la mayoría”.
“Este mecanismo de consenso protege contra múltiples escenarios de ataque: un único punto final RPC comprometido no puede redirigir a los robots a un sumidero, y los investigadores no pueden corromper la resolución C2 operando un nodo RPC no autorizado”.
Vale la pena señalar que anteriormente se observó una implementación similar en dos paquetes NPM llamados colortoolsv2 y mimelib2, que se ha demostrado que entregan malware de descarga a los sistemas de los desarrolladores.
Una vez que EtherRAT se pone en contacto con el servidor C2, ingresa a un bucle de consulta que se ejecuta cada 500 milisegundos e interpreta cualquier respuesta de más de 10 caracteres como código JavaScript que se ejecutará en la computadora infectada. La persistencia se logra mediante el uso de cinco métodos diferentes:
- servicio de usuario systemd
- Entrada de inicio automático XDG
- Trabajos cron
- inyección .bashrc
- Inyección de perfil
Al utilizar múltiples mecanismos, los actores de amenazas pueden garantizar que el malware se ejecute incluso después de reiniciar el sistema, lo que les permite un acceso continuo a los sistemas infectados. Otra señal que indica la sofisticación del malware es su capacidad de autoactualizarse, sobrescribiéndose con el nuevo código que recibe del servidor C2 después de enviar su propio código fuente a un punto final API.
Luego se inicia un nuevo proceso con la carga útil actualizada. Lo que es notable aquí es que el C2 devuelve una versión funcionalmente idéntica pero ofuscada de manera diferente, lo que potencialmente le permite evitar la detección estática basada en firmas.
Además del uso de EtherHiding, los enlaces a Contagious Interview resultan de la superposición entre el patrón de carga cifrado utilizado en EtherRAT y un conocido ladrón y descargador de información JavaScript llamado BeaverTail.
“EtherRAT representa una evolución significativa de la explotación de React2Shell, yendo más allá de la criptominería oportunista y el robo de credenciales hacia un acceso persistente y sigiloso diseñado para operaciones a largo plazo”, dijo Sysdig.
“Ya sea que se trate de que los actores norcoreanos adopten nuevos métodos de explotación o de que otro actor adopte técnicas sofisticadas, el resultado es el mismo: los defensores se enfrentan a un nuevo implante desafiante que se resiste a los métodos tradicionales de detección y eliminación”.
Transiciones de entrevistas contagiosas de npm a VS Code
La divulgación se produjo cuando OpenSourceMalware reveló detalles de una nueva variante de “Entrevista contagiosa” que presiona a las víctimas a clonar un repositorio malicioso en GitHub, GitLab o Bitbucket e iniciar el proyecto en Microsoft Visual Studio Code (VS Code) como parte de una tarea de codificación.
Esto da como resultado la ejecución de un archivo VS Code-Tasks.json tal como está configurado con runOptions.runOn: “folderOpen”, lo que hace que se ejecute automáticamente tan pronto como se abre el proyecto. El archivo está diseñado para descargar un script de carga usando curl o wget dependiendo del sistema operativo del host comprometido.
En el caso de Linux, la siguiente etapa es un script de shell que descarga y ejecuta otro script de shell llamado vscode-bootstrap.sh, que luego recupera dos archivos más, package.json y env-setup.js, este último sirve como plataforma de lanzamiento para BeaverTail e InvisibleFerret.
OpenSourceMalware dijo que identificó 13 versiones diferentes de esta campaña, repartidas en 27 usuarios diferentes de GitHub y 11 versiones diferentes de BeaverTail. El repositorio más antiguo (“github(.)com/MentarisHub121/TokenPresaleApp”) es del 22 de abril de 2025 y la última versión (“github(.)com/eferos93/test4”) se creó el 1 de diciembre de 2025.
“Los actores de amenazas de la RPDC están acudiendo en masa a Vercel y ahora lo utilizan casi exclusivamente”, dijo el equipo de OpenSourceMalware. “No sabemos por qué, pero Contagious Interview ya no utiliza Fly.io, Platform.sh, Render y otros proveedores de hosting”.
About The Author
