北韓駭客加入利用React2Shell的行列，散布惡意程式EtherRAT

上週React開發團隊修補CVE-2025-55182（React2Shell），此漏洞存在於React伺服器元件（React Server Components，RSC），可被用於遠端執行任意程式碼，風險值達到滿分10分，相當危險。該漏洞公開不久，Earth Lamia、Jackpot Panda，以及UNC5174（CL-STA-1015）等中國國家級駭客已積極利用，亦有Mirai及其他殭屍網路加入利用的行列，如今有資安業者發現，北韓駭客也用於散布惡意軟體，使得React2Shell漏洞利用活動急速升溫。

資安業者Sysdig指出，他們發現有人利用React2Shell散布名為EtherRAT的惡意軟體，過程中使用的作案工具，與北韓駭客先前的活動Contagious Interview有所交集。針對這波活動，可能代表北韓已有國家級駭客開始利用React2Shell，而且各駭客組織之間存在複雜的作案工具共用關係。

這起事故出現在React公開漏洞的2天後，Sysdig發現遭到滲透的Next.js應用程式，當中被植入的有效酬載，並非初期利用React2Shell散布的挖礦軟體或竊資軟體，而是功能相當複雜的EtherRAT，因而引起他們的注意。此惡意程式濫用以太坊智慧合約進行C2通訊，並具備5種常駐在Linux環境的機制，一旦執行，還會從nodejs.org下載專屬的Node.js執行期間元件（Runtime）。有別於其他利用React2Shell的惡意活動，主要仰賴PowerShell或是Shell命令，並採用寫死的（Hardcoded，將固定IP位址與網域寫死在程式碼）C2基礎設施，EtherRAT顯得相當特別。

針對EtherRAT的攻擊流程，通常從執行經Base64演算法處理的Shell命令開始，在成功利用React2Shell之後，就下載Shell指令碼並執行，然後部署以JavaScript打造的惡意程式。整個流程大致可區分成4個階段。

首先是取得初步的存取管道，攻擊者利用React2Shell執行經Base64演算法處理的有效酬載，嘗試利用curl、wget，以及python3等公用程式，下載作案所需的工具，若是失敗，將會等待300秒之後再度重試。

接著，攻擊者部署Shell指令碼s.sh，此指令碼在執行JavaScript有效酬載之前，會建立持續活動機制，並下載合法的Node.js供後續流程運用，然後藉由隱藏資料夾結構、採用兩種型態的有效酬載部署、於系統背景執行，以及在指令碼執行完成後自我刪除，來避免活動被發現。

再來，他們透過經混淆處理的JavaScript惡意程式載入工具.kxnzl4mtez.js，使用AES-256-CBC演算法與寫死金鑰，解開主要的惡意程式，最終執行EtherRAT。

特別的是，此惡意程式利用Linux作業系統常見的公用程式與組態檔案，建立能持續運作的機制，攻擊者濫用的公用程式包含Systemd、XDG，以及Cron，並寫入個人設定檔（Profile）與.bashrc，來達到目的。Sysdig提及，EtherRAT採用XDG的作法並不常見，原因在於這是Linux桌面環境的公用程式，也代表該惡意程式鎖定的範圍，比許多Linux惡意程式要來得廣泛。

附帶一提的是，另一家資安業者Palo Alto Networks也偵測到北韓駭客用來散布EtherRAT的活動，不過他們無法確定攻擊者的身分；此外，該公司也看到React2Shell被用於散布後門程式BPFDoor與Auto-color，其中散布BPFDoor的是中國駭客Red Menshen。