តួអង្គដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងទាញយកប្រយោជន៍ពី React2Shell ដើម្បីដាក់ពង្រាយមេរោគ EtherRAT ថ្មី

អ្នកគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងទំនងជាក្លាយជាអ្នកចុងក្រោយបង្អស់ដែលទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់ React2Shell ដែលទើបនឹងបង្ហាញថ្មីៗនេះនៅក្នុង React Server Components (RSC) ដើម្បីបញ្ជូនមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលមិនមានឯកសារពីមុនដែលមានឈ្មោះថា EtherRAT។

លោក Sysdig បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចេញផ្សាយកាលពីថ្ងៃចន្ទថា "EtherRAT ប្រើប្រាស់កិច្ចសន្យាឆ្លាតវៃ Ethereum សម្រាប់ដំណោះស្រាយបញ្ជា និងគ្រប់គ្រង (C2) ដាក់ពង្រាយយន្តការតស៊ូ Linux ឯករាជ្យចំនួនប្រាំ និងទាញយក Node.js runtime ផ្ទាល់ខ្លួនរបស់វាពី nodejs.org"។

ក្រុមហ៊ុនសន្តិសុខ cloud បាននិយាយថា សកម្មភាពនេះបង្ហាញពីការត្រួតស៊ីគ្នាយ៉ាងសំខាន់ជាមួយនឹងយុទ្ធនាការដែលមានរយៈពេលយូរ ដែលមានឈ្មោះកូដថា Contagious Interview ដែលត្រូវបានគេសង្កេតឃើញថាប្រើប្រាស់បច្ចេកទេស EtherHiding ដើម្បីចែកចាយមេរោគចាប់តាំងពីខែកុម្ភៈ ឆ្នាំ 2025។

Contagious Interview គឺជាឈ្មោះដែលផ្តល់ឱ្យការវាយប្រហារជាបន្តបន្ទាប់ ដែលអ្នកអភិវឌ្ឍន៍ blockchain និង Web3 ក្នុងចំណោមអ្នកផ្សេងទៀត ត្រូវបានកំណត់គោលដៅតាមរយៈការសម្ភាសន៍ការងារក្លែងក្លាយ កិច្ចការសរសេរកូដ និងការវាយតម្លៃវីដេអូ ដែលនាំឱ្យមានការដាក់ពង្រាយមេរោគ។ កិច្ចខិតខំប្រឹងប្រែងទាំងនេះជាធម្មតាចាប់ផ្តើមដោយល្បិចកលដែលទាក់ទាញជនរងគ្រោះតាមរយៈវេទិកាដូចជា LinkedIn, Upwork ឬ Fiverr ដែលអ្នកគំរាមកំហែងធ្វើពុតជាអ្នកជ្រើសរើសបុគ្គលិកដែលផ្តល់ឱកាសការងារដែលរកប្រាក់ចំណេញ។

យោងតាមក្រុមហ៊ុនសន្តិសុខខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី Socket វាគឺជាយុទ្ធនាការមួយក្នុងចំណោមយុទ្ធនាការដែលមានផលិតភាពបំផុតដែលកេងប្រវ័ញ្ចប្រព័ន្ធអេកូឡូស៊ី npm ដោយបង្ហាញពីសមត្ថភាពរបស់ពួកគេក្នុងការសម្របខ្លួនទៅនឹង JavaScript និងលំហូរការងារដែលផ្តោតលើរូបិយប័ណ្ណគ្រីបតូ។

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ច CVE-2025-55182 (ពិន្ទុ CVSS: 10.0) ដែលជាចំណុចខ្សោយសុវត្ថិភាពកម្រិតធ្ងន់ធ្ងរបំផុតនៅក្នុង RSC ដើម្បីប្រតិបត្តិពាក្យបញ្ជាសែលដែលបានអ៊ិនកូដ Base64 ដែលទាញយក និងដំណើរការស្គ្រីបសែលដែលទទួលខុសត្រូវចំពោះការដាក់ពង្រាយការបង្កប់ JavaScript សំខាន់។

ស្គ្រីបសែលត្រូវបានទាញយកដោយប្រើពាក្យបញ្ជា curl ដោយមាន wget និង python3 ប្រើជា fallbacks។ វាក៏ត្រូវបានរចនាឡើងដើម្បីរៀបចំបរិស្ថានដោយការទាញយក Node.js v20.10.0 ពី nodejs.org បន្ទាប់មកវាសរសេរទៅកាន់ថាស blob ដែលបានអ៊ិនគ្រីប និង JavaScript dropper ដែលលាក់កំបាំង។ នៅពេលដែលជំហានទាំងអស់នេះត្រូវបានបញ្ចប់ វាបន្តលុបស្គ្រីបសែលដើម្បីកាត់បន្ថយដានកោសល្យវិច្ច័យ ហើយដំណើរការ dropper។

គោលដៅចម្បងរបស់ dropper គឺដើម្បីឌិគ្រីប payload EtherRAT ជាមួយសោដែលបានអ៊ិនកូដយ៉ាងរឹងមាំ ហើយបង្កើតវាដោយប្រើប្រព័ន្ធគោលពីរ Node.js ដែលបានទាញយក។ មេរោគនេះគួរឱ្យកត់សម្គាល់សម្រាប់ការប្រើប្រាស់ EtherHiding ដើម្បីទាញយក URL ម៉ាស៊ីនមេ C2 ពីកិច្ចសន្យាឆ្លាតវៃ Ethereum រៀងរាល់ប្រាំនាទីម្តង ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករធ្វើបច្ចុប្បន្នភាព URL បានយ៉ាងងាយស្រួល ទោះបីជាវាត្រូវបានដកចេញក៏ដោយ។

លោក Sysdig បាននិយាយថា "អ្វីដែលធ្វើឱ្យការអនុវត្តនេះមានលក្ខណៈពិសេសគឺការប្រើប្រាស់ការបោះឆ្នោតឯកភាពគ្នានៅទូទាំងចំណុចបញ្ចប់ការហៅនីតិវិធីពីចម្ងាយ Ethereum (RPC) ចំនួនប្រាំបួន"។ "EtherRAT សាកសួរចំណុចបញ្ចប់ទាំងប្រាំបួនក្នុងពេលដំណាលគ្នា ប្រមូលការឆ្លើយតប និងជ្រើសរើស URL ដែលបានប្រគល់មកវិញដោយភាគច្រើន"។

"យន្តការឯកភាពគ្នានេះការពារប្រឆាំងនឹងសេណារីយ៉ូវាយប្រហារជាច្រើន៖ ចំណុចបញ្ចប់ RPC ដែលរងការសម្របសម្រួលតែមួយមិនអាចប្តូរទិសបូតទៅកាន់រណ្តៅបានទេ ហើយអ្នកស្រាវជ្រាវមិនអាចបំពុលដំណោះស្រាយ C2 ដោយដំណើរការថ្នាំង RPC ក្លែងក្លាយបានទេ"។

វាគួរឱ្យកត់សម្គាល់ថាការអនុវត្តស្រដៀងគ្នានេះត្រូវបានគេសង្កេតឃើញពីមុននៅក្នុងកញ្ចប់ npm ពីរដែលមានឈ្មោះថា colortoolsv2 និង mimelib2 ដែលត្រូវបានគេរកឃើញថាបញ្ជូនមេរោគទាញយកនៅលើប្រព័ន្ធអ្នកអភិវឌ្ឍន៍។

នៅពេលដែល EtherRAT បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 វានឹងចូលទៅក្នុងរង្វិលជុំស្ទង់មតិដែលប្រតិបត្តិរៀងរាល់ 500 មីលីវិនាទី ដោយបកស្រាយការឆ្លើយតបណាមួយដែលវែងជាង 10 តួអក្សរជាកូដ JavaScript ដែលត្រូវដំណើរការលើម៉ាស៊ីនដែលឆ្លងមេរោគ។ ការបន្តត្រូវបានសម្រេចដោយប្រើវិធីសាស្រ្តប្រាំផ្សេងគ្នា -

-សេវាកម្មអ្នកប្រើប្រាស់ Systemd

-ធាតុចាប់ផ្តើមដោយស្វ័យប្រវត្តិ XDG

-ការងារ Cron

-ការចាក់ .bashrc

-ការចាក់ទម្រង់

តាមរយៈការប្រើប្រាស់យន្តការច្រើន អ្នកគំរាមកំហែងអាចធានាថាមេរោគដំណើរការសូម្បីតែបន្ទាប់ពីប្រព័ន្ធចាប់ផ្តើមឡើងវិញ ហើយផ្តល់សិទ្ធិចូលប្រើបន្តដល់ពួកគេទៅកាន់ប្រព័ន្ធដែលឆ្លងមេរោគ។ សញ្ញាមួយទៀតដែលចង្អុលបង្ហាញពីភាពទំនើបរបស់មេរោគគឺសមត្ថភាពធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង ដែលសរសេរជាន់លើខ្លួនវាជាមួយនឹងលេខកូដថ្មីដែលទទួលបានពីម៉ាស៊ីនមេ C2 បន្ទាប់ពីផ្ញើលេខកូដប្រភពរបស់វាទៅកាន់ចំណុចបញ្ចប់ API។

បន្ទាប់មកវាបើកដំណើរការដំណើរការថ្មីជាមួយនឹងបន្ទុកដែលបានធ្វើបច្ចុប្បន្នភាព។ អ្វីដែលគួរឱ្យកត់សម្គាល់នៅទីនេះគឺថា C2 ប្រគល់កំណែដែលមានមុខងារដូចគ្នាបេះបិទ ប៉ុន្តែមានភាពមិនច្បាស់លាស់ខុសគ្នា ដោយហេតុនេះអាចអនុញ្ញាតឱ្យវារំលងការរកឃើញដែលមានមូលដ្ឋានលើហត្ថលេខាឋិតិវន្ត។

បន្ថែមពីលើការប្រើប្រាស់ EtherHiding តំណភ្ជាប់ទៅកាន់ Contagious Interview កើតចេញពីការត្រួតស៊ីគ្នារវាងគំរូផ្ទុកដែលបានអ៊ិនគ្រីបដែលប្រើក្នុង EtherRAT និងកម្មវិធីលួច និងទាញយកព័ត៌មាន JavaScript ដែលគេស្គាល់ថា BeaverTail។

លោក Sysdig បានមានប្រសាសន៍ថា "EtherRAT តំណាងឱ្យការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងការកេងប្រវ័ញ្ច React2Shell ដោយផ្លាស់ប្តូរលើសពីការជីកយករូបិយប័ណ្ណគ្រីបតូដោយឱកាសនិយម និងការលួចយកព័ត៌មានសម្ងាត់ ឆ្ពោះទៅរកការចូលប្រើដោយលួចលាក់ និងជាប់លាប់ ដែលត្រូវបានរចនាឡើងសម្រាប់ប្រតិបត្តិការរយៈពេលវែង"។

"មិនថានេះតំណាងឱ្យតួអង្គកូរ៉េខាងជើងដែលងាកទៅរកវ៉ិចទ័រកេងប្រវ័ញ្ចថ្មី ឬបច្ចេកទេសទំនើបដែលខ្ចីដោយតួអង្គផ្សេងទៀតទេ លទ្ធផលគឺដូចគ្នា៖ អ្នកការពារប្រឈមមុខនឹងការផ្សាំថ្មីដ៏លំបាកមួយដែលទប់ទល់នឹងវិធីសាស្ត្ររកឃើញ និងដកចេញបែបប្រពៃណី"។

ការសម្ភាសន៍ឆ្លងមេរោគ ផ្លាស់ប្តូរពី npm ទៅ VS Code

ការបង្ហាញនេះកើតឡើងនៅពេលដែល OpenSourceMalware បានបង្ហាញព័ត៌មានលម្អិតនៃបំរែបំរួលការសម្ភាសន៍ឆ្លងមេរោគថ្មីដែលជំរុញឱ្យជនរងគ្រោះចម្លងឃ្លាំងផ្ទុកមេរោគនៅលើ GitHub, GitLab ឬ Bitbucket ជាផ្នែកមួយនៃកិច្ចការសរសេរកម្មវិធី និងចាប់ផ្តើមគម្រោងនៅក្នុង Microsoft Visual Studio Code (VS Code)។

នេះបណ្តាលឱ្យមានការប្រតិបត្តិឯកសារ VS Code tasks.json ដោយសារតែវាត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយ runOptions.runOn: 'folderOpen' ដែលបណ្តាលឱ្យវាដំណើរការដោយស្វ័យប្រវត្តិភ្លាមៗនៅពេលដែលគម្រោងត្រូវបានបើក។ ឯកសារនេះត្រូវបានរចនាឡើងដើម្បីទាញយកស្គ្រីបផ្ទុកទិន្នន័យដោយប្រើ curl ឬ wget ដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការរបស់ម៉ាស៊ីនដែលរងការសម្របសម្រួល។

ក្នុងករណី Linux ដំណាក់កាលបន្ទាប់គឺជាស្គ្រីបសែលដែលទាញយក និងដំណើរការស្គ្រីបសែលមួយផ្សេងទៀតដែលមានឈ្មោះថា "vscode-bootstrap.sh" ដែលបន្ទាប់មកទាញយកឯកសារពីរបន្ថែមទៀតគឺ "package.json" និង "env-setup.js" ដែលក្រោយមកទៀតបម្រើជាកន្លែងចាប់ផ្តើមសម្រាប់ BeaverTail និង InvisibleFerret។

OpenSourceMalware បាននិយាយថា ខ្លួនបានកំណត់អត្តសញ្ញាណកំណែផ្សេងៗគ្នាចំនួន 13 នៃយុទ្ធនាការនេះ ដែលរីករាលដាលពាសពេញអ្នកប្រើប្រាស់ GitHub ចំនួន 27 ផ្សេងគ្នា និងកំណែផ្សេងៗគ្នាចំនួន 11 នៃ BeaverTail។ ឃ្លាំងដំបូងបំផុត ("github[.]com/MentarisHub121/TokenPresaleApp") មានតាំងពីថ្ងៃទី 22 ខែមេសា ឆ្នាំ 2025 ហើយកំណែថ្មីបំផុត ("github[.]com/eferos93/test4") ត្រូវបានបង្កើតឡើងនៅថ្ងៃទី 1 ខែធ្នូ ឆ្នាំ 2025។

ក្រុម OpenSourceMalware បាននិយាយថា "អ្នកគំរាមកំហែងកូរ៉េខាងជើងបានប្រមូលផ្តុំគ្នាទៅកាន់ Vercel ហើយឥឡូវនេះកំពុងប្រើប្រាស់វាស្ទើរតែទាំងស្រុង"។ "យើងមិនដឹងថាហេតុអ្វីទេ ប៉ុន្តែ Contagious Interview បានឈប់ប្រើប្រាស់ Fly.io, Platform.sh, Render និងអ្នកផ្តល់សេវា hosting ផ្សេងទៀត"។