文章总结： 朝鲜APT组织利用假冒招聘攻击Web3开发者，通过React2Shell漏洞植入EtherRAT后门。该后门创新地利用以太坊智能合约作为C2信道，通过区块链下发指令，隐蔽性极强。建议开发者警惕陌生招聘请求，及时修复React组件漏洞，避免开发机存储私钥，并监测异常RPC连接以防御此类攻击。 综合评分： 87 文章分类： 威胁情报,恶意软件,区块链安全,社会工程学,漏洞分析

朝鲜APT组织“Contagious Interview”玩起区块链！EtherRAT后门靠以太坊传指令，Web3开发者要哭了

原创

紫队

AI紫队安全研究

2025年12月29日 12:00 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    “LinkedIn上的猎头主动抛橄榄枝，面试题竟是黑客陷阱？” 最近Web3圈的开发者们要小心了！安全研究员发现，朝鲜关联APT组织搞出了新套路——用React2Shell漏洞（CVE-2025-55182）搭配全新EtherRAT后门，伪装成招聘、项目合作钓开发者，还把以太坊智能合约当成“指挥中心”，堪称“黑客界的科技卷王”。

从“伪装猎头”到“区块链传指令”，这场攻击把“高科技犯罪”玩得明明白白，连安全专家都吐槽：“现在黑客都开始蹭Web3热度了，技术迭代速度比某些区块链项目还快！”

一、Web3开发者的“面试惊魂”：点个Demo，电脑被偷家

某加密货币项目开发者小王（化名），就差点栽在这场“高科技钓鱼”里，全程像演悬疑片：

1. 第一步：猎头“甜言蜜语”，钓鱼钓得润物细无声

小王在LinkedIn收到一条私信，来自“某海外区块链公司招聘经理”，说看中他的开源项目经验，想邀请面试，还附了一个“面试Demo项目”，让他先熟悉业务逻辑。

私信里不仅准确说出小王的项目细节，还承诺“远程面试+高薪+弹性办公”，对卷累了的开发者来说，简直是“梦中offer”。小王没多想，就下载了Demo压缩包。

2. 第二步：React2Shell漏洞“秒破防”，后门悄悄找上门

解压后运行Demo里的“项目启动脚本”，终端只显示“依赖加载中”，小王以为是正常流程。殊不知，脚本里藏着React2Shell漏洞利用代码：

瞄准React Server Components 19.x版本的 deserial漏洞，不用登录验证就能远程执行代码；

漏洞披露才两天就被黑客盯上，堪称“漏洞刚曝光，攻击就到账”；

后台偷偷下载EtherRAT后门，还删掉安装痕迹，比“无痕浏览”还彻底。

3. 第三步：以太坊当“指挥中心”，黑客远程操控没商量

EtherRAT后门启动后，小王的电脑直接变成“黑客傀儡”：

先下载正版Node.js runtime，伪装成正常开发环境，骗过安全软件；

连C2服务器都不走寻常路，向9个以太坊RPC节点发请求，靠“多数投票”确定真实指挥地址，就算一个节点被封也不影响；

每5分钟查一次区块链上的智能合约，黑客改个合约代码，所有被感染的电脑就自动更新指令，比公司发通知还高效；

每500毫秒就伪装成“加载网页资源”发请求，收到JavaScript指令就直接执行，黑客能远程操控电脑做任何事。

幸好小王的电脑装了安全监测工具，及时拦截了数据传输，不然项目代码、私钥都得成黑客的“囊中之物”。

二、拆解EtherRAT：黑客界的“科技缝合怪”，套路全是新玩法

EtherRAT后门堪称“集大成之作”，把多个黑客技术缝合在一起，每一个功能都透着“专业”：

1. 区块链C2：指挥中心藏在以太坊里，反追踪能力拉满

这是最骚的操作！黑客不建传统C2服务器，反而把指令藏在以太坊智能合约里：

9个RPC节点“投票”选指挥地址，单个节点被拿下也没用，相当于“分布式指挥系统”；

想换C2地址？改个智能合约就行，所有被感染的电脑自动同步，不用逐个操作；

通信伪装成网页资源请求，防火墙根本分不清是正常访问还是黑客指令，主打一个“瞒天过海”。

2. 五级持久化：赖在电脑里不走，比流氓软件还顽固

EtherRAT在Linux系统里搞了5种持久化手段，就算重启电脑也会自动启动：

改系统配置、创建隐藏服务、写启动脚本，全方位“扎根”；

还会生成专属Bot ID存在本地，就算重装部分软件，后门也能认出自家“傀儡”，堪称“打不死的小强”。

3. 四阶段攻击：步步为营，痕迹擦得干干净净

EtherRAT的攻击流程像精密仪器，每一步都算得明明白白：

1. 初始访问：用Base64编码的命令，靠curl、wget、python3轮番下载脚本，不怕某一种工具被禁用；

2. 部署阶段：创建隐藏目录，下载正版Node.js，降低安全软件警惕；

3. 解密执行：用AES-256-CBC解密核心 payload，生成Bot ID后启动后门；

4. 持久控制：区块链拿指令，远程执行代码，全程擦除痕迹，查都查不到。

三、黑客的“狩猎清单”：专盯这些人，套路就这两招

朝鲜关联组织的“Contagious Interview” campaign从2023年11月就开始了，目标和手法都很明确：

1. 目标：Web3开发者是头号猎物

重点盯 crypto、Web3领域的开发者，不管是Windows、Linux还是macOS系统都不放过；

这类人群手里有项目代码、加密私钥、客户数据，对黑客来说“价值千金”；

顺带还会攻击使用React Server Components 19.x的企业，尤其是没及时打补丁的团队。

2. 套路：两种伪装，精准拿捏开发者

伪装招聘：LinkedIn上扮猎头，用高薪、远程办公当诱饵，发带恶意代码的面试Demo；

伪装合作：冒充同行谈项目合作，分享“需求文档+Demo代码”，里面藏着漏洞利用脚本；

以前还会用BeaverTail信息窃取器、InvisibleFerret RAT，现在直接升级成EtherRAT，功能更隐蔽。

四、避坑指南：3招挡住“区块链黑客”，开发者必备

针对这场高科技攻击，不管是Web3开发者还是企业，都得把安全弦绷紧，这3招能救命：

1. 招聘、合作“三核实”：别被高薪冲昏头

核实身份：LinkedIn私信先查对方公司官网，打电话或发官方邮箱确认，别信“只走私信”；

核实文件：收到Demo、项目代码，先扫病毒，重点查脚本里有没有curl、wget下载未知链接的代码；

核实漏洞：如果项目用到React Server Components，赶紧升级到修复版本，别用19.0.0-19.2.0这些有漏洞的版本。

2. 系统防护“不偷懒”：补丁、杀软双保险

及时打补丁：不仅要更React组件，操作系统、开发工具也得定期更，别让漏洞成为“后门入口”；

开启云查杀：给开发机装带云查功能的安全软件，能识别EtherRAT这类新后门；

限制脚本运行：不明来源的shell脚本、Node.js脚本，先在沙箱里跑一遍，确认安全再用。

3. 区块链相关“多警惕”：私钥、节点要管好

开发机别存私钥：把加密货币私钥、项目密钥存在硬件钱包或离线设备里，别让开发机“裸奔”；

监测异常连接：关注电脑有没有连陌生以太坊RPC节点，或向境外发送加密数据；

团队共享预警：遇到可疑招聘、合作，及时在行业群里提醒，避免更多人中招。

结语：黑客都卷Web3了，安全意识不能掉队

朝鲜黑客用以太坊当指挥中心、靠React漏洞搞攻击，说明网络攻击已经越来越“高科技化”。对Web3开发者来说，既要追技术潮流，也要守好安全底线——毕竟，再牛的项目代码，也经不住黑客的“面试陷阱”。

对企业而言，除了给员工做安全培训，还得加强开源组件的漏洞监测，别等黑客利用了才想起打补丁。毕竟，在黑客的“科技内卷”面前，只有安全意识跑在前面，才能不被套路。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《朝鲜APT组织“Contagious Interview”玩起区块链！EtherRAT后门靠以太坊传指令，Web3开发者要哭了》