کمیته رکن چهارم – گروههای هکری وابسته به دولت کره شمالی با استفاده از آسیبپذیری خطرناک React2Shell، بدافزار جدیدی به نام EtherRAT را برای نفوذ به سیستمهای لینوکسی منتشر کردهاند. این بدافزار از فناوری بلاکچین Ethereum برای برقراری ارتباط با سرور کنترل استفاده میکند و بهصورت مخفیانه روی سیستم قربانی باقی میماند.
به گزارش کمیته رکن چهارم، این حمله بخشی از کمپینی به نام Contagious Interview است که از فوریه ۲۰۲۵ فعال بوده و با فریب توسعهدهندگان در سایتهایی مانند LinkedIn و Upwork، آنها را به دانلود پروژههای آلوده و اجرای کدهای مخرب تشویق میکند.
زنجیره حمله از آسیبپذیری CVE-2025-55182 در React Server Components شروع میشود که امتیاز بحرانی ۱۰ از ۱۰ دارد. پس از اجرای یک اسکریپت، نسخهای از Node.js روی سیستم نصب میشود و بدافزار با استفاده از تکنیکهای مختلف در سیستم ماندگار میماند. ارتباط EtherRAT با سرور کنترل هر ۵ دقیقه از طریق قرارداد هوشمند اتریوم انجام میشود، روشی که ردیابی و توقف آن را بسیار دشوار میسازد.
بدافزار پس از اجرا، کدهای جاوااسکریپت دریافتی را در سیستم اجرا کرده و خود را بهروزرسانی میکند تا از شناسایی آنتیویروسها دور بماند. این حمله همچنین از فایلهای VS Code مانند tasks.json سوءاستفاده میکند تا با باز شدن پروژه، کدهای مخرب اجرا شوند.
کارشناسان امنیتی هشدار دادهاند که کمپین مذکور بهشدت فعال است و کاربران حوزه بلاکچین و توسعهدهندگان نرمافزار باید در دانلود پروژهها، فایلها و تماسهای کاری آنلاین احتیاط کنند.
