Minaccia Informatica: Attori della Corea del Nord Sfruttano Vulnerabilità React2Shell
Il recente exploit della vulnerabilità React2Shell è stato sfruttato da attori della Corea del Nord per diffondere un nuovo malware remoto chiamato EtherRAT. Questo malware utilizza smart contract Ethereum per la risoluzione del comando e del controllo, e dispiega cinque meccanismi di persistenza indipendenti su Linux.
Il malware EtherRAT è stato scoperto dalla società di sicurezza cloud Sysdig, che ha pubblicato un rapporto lunedì scorso. L’attività esibisce una significativa sovrapposizione con una campagna a lungo termine chiamata Contagious Interview, che ha utilizzato la tecnica EtherHiding per distribuire malware dal febbraio 2025. La campagna Contagious Interview consiste in una serie di attacchi in cui gli sviluppatori di blockchain e Web3, tra gli altri, vengono presi di mira attraverso interviste false, assegnazioni di codice e valutazioni video, portando al dispiegamento di malware.
Tecnica di Attacco e Persistenza
L’attacco inizia con lo exploit della vulnerabilità CVE-2025-55182 per eseguire un comando shell codificato in Base64 che scarica e esegue uno script shell responsabile del dispiegamento dell’impianto JavaScript principale. Lo script shell è recuperato utilizzando un comando curl, con wget e python3 utilizzati come fallback. Il malware utilizza cinque meccanismi di persistenza diversi, tra cui systemd user service, XDG autostart entry, cron jobs,.bashrc injection e profile injection, per garantire la persistenza anche dopo un riavvio del sistema. Inoltre, il malware ha la capacità di auto-aggiornarsi sovrascrivendo se stesso con il nuovo codice ricevuto dal server di comando e controllo.
