文章总结： 黑客利用React2Shell漏洞部署EtherRAT恶意软件，该软件通过以太坊智能合约进行C2通信，具备Linux五层持久化及自主更新能力。攻击涉及下载Node.js环境与解密载荷。建议升级React/Next.js版本，排查持久化痕迹，监控RPC流量并轮换凭证。 综合评分： 86 文章分类： 漏洞分析,恶意软件,威胁情报,WEB安全,漏洞预警

黑客借React2Shell漏洞发起EtherRAT恶意软件攻击

胡金鱼

嘶吼专业版

2025年12月19日 14:01 北京

在近期的React2Shell漏洞攻击事件中，一款名为EtherRAT的新型恶意植入程序被安全研究人员发现，该程序不仅内置五种独立的Linux系统持久化机制，还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为，这款恶意软件的特征与朝鲜黑客组织在Contagious Interview攻击活动中使用的工具相符。他们在React2Shell高危漏洞（CVE-2025-55182）披露仅两天后，便从某遭入侵的Next.js应用中成功提取到EtherRAT样本。

EtherRAT整合了多项复杂功能，包括基于区块链的命令与控制（C2）通信、多层Linux持久化、载荷实时重写，以及依托完整Node.js运行时环境实现的反检测能力。尽管其与朝鲜Lazarus组织发起的Contagious Interview

React2Shell是React服务端组件（RSC）Flight协议中存在的最高级别反序列化漏洞，攻击者可通过特制HTTP请求实现无认证远程代码执行。

该漏洞影响大量运行React/Next.js的云环境，在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及，已有跨多个行业的至少30家组织机构遭入侵，攻击者借此窃取凭证、开展加密货币挖矿，并部署通用型后门程序。

EtherRAT的攻击链路

Sysdig指出，EtherRAT采用多阶段攻击链路，其流程如下：

1.漏洞利用与初始载荷投放：首先通过React2Shell漏洞在目标设备上执行Base64编码的Shell命令，该命令会尝试通过curl、wget或python3（备选）工具下载恶意Shell脚本s.sh，并每300秒循环执行一次直至下载成功。脚本获取后会先经过校验，再被赋予可执行权限并启动。

脚本逻辑

2.运行时环境部署：脚本会在用户目录$HOME/.local/share/下创建隐藏文件夹，从nodejs.org直接下载并解压合法的Node.js v20.10.0运行时环境。随后写入加密载荷数据块与混淆后的JavaScript投放器，通过已下载的Node二进制文件执行投放器，执行完毕后脚本会自行删除。

3.恶意程序解密与加载：名为.kxnzl4mtez.js的混淆JavaScript投放器会读取加密数据块，通过硬编码的AES-256-CBC密钥完成解密，并将解密结果写入另一隐藏JavaScript文件。该解密后的文件即为EtherRAT植入程序，最终通过前一阶段安装的Node.js环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的C2通信

EtherRAT采用以太坊智能合约实现C2操作，该方式不仅具备灵活的运营能力，还能有效抵御反制与关停措施。其会并行查询9个公共以太坊RPC节点，并以多数节点的响应结果为准，可防止单点节点投毒或域名劫持攻击。

此外，该恶意软件每500毫秒便会向C2发送随机生成的类CDN格式URL，并通过AsyncFunction构造器执行攻击者下发的JavaScript代码，形成可完全交互的Node.js命令行环境。

构建随机URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发，该技术被称为EtherHiding，谷歌与GuardioLabs均曾发布相关技术报告。

Linux系统的五层持久化机制

EtherRAT在Linux系统中具备极强的持久化能力，通过部署五层冗余机制确保控制权不丢失，具体包括：

·定时任务（Cron jobs）

·bashrc配置注入

·XDG自动启动项

·Systemd用户服务

·配置文件（Profile）注入

借助多维度持久化手段，即便目标系统经历重启或运维操作，攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT的另一独特功能是可通过向API端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码，完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测，也可阻碍逆向分析，同时支持按需加载特定攻击功能。

鉴于目前React2Shell漏洞已被多方黑客组织利用，系统管理员需尽快将React/Next.js版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊RPC相关流量、审计应用程序日志，并及时轮换各类账户凭证。

参考及来源：https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《黑客借React2Shell漏洞发起EtherRAT恶意软件攻击》