Пять способов перезапуска, девять узлов Ethereum и самообновление. На что ещё способен EtherRAT?
NewsMakerВредонос меняет облик гораздо раньше, чем кто-то успевает его заметить.
Появление нового вредоносного инструмента в цепочке атак React2Shell стало заметным событием на фоне волны взломов, начавшейся после раскрытия уязвимости CVE-2025-55182 . На этот раз речь идёт о гораздо более сложном механизме, чем ранее наблюдавшиеся попытки внедрения криптомайнеров или сборщиков данных. Команда Sysdig TRT выявила необычный компонент, получивший название EtherRAT, который использует сочетание техник из разных кампаний и показывает значительный рост подготовки со стороны злоумышленников.
Специалисты Sysdig обнаружили EtherRAT 5 декабря в скомпрометированном приложении Next.js всего через два дня после публикации критической проблемы в React Server Components. Уязвимость позволяет выполнить произвольный код через один HTTP-запрос, чем активно воспользовались разные группировки. Но новый сценарий атаки выделяется глубиной и продуманностью. Вместо стандартных команд оболочки и жёстко заданных серверов управления здесь применяются собственная цепочка загрузки, внешний JavaScript-компонент и технология управления через блокчейн.
Атака разворачивается по четырёхступенчатой схеме. Сначала выполняется закодированная команда, запускающая загрузчик, который пытается получить скрипт разными способами и перезапускает процесс при неудаче. Далее на устройство загружается официальный дистрибутив Node.js , что скрывает вредоносную активность среди легитимного трафика. После этого запускается шифрованный компонент, расшифровывающий основной модуль. Финальный этап — постоянный модуль EtherRAT, который создаёт устойчивую точку присутствия и поддерживает связь с операторами.
Самым необычным элементом стала система управления через смарт-контракт Ethereum . Вредоносный модуль регулярно обращается к контракту, запрашивая актуальный адрес управляющего сервера. При этом используется девять публичных RPC-узлов, а итоговый адрес выбирается по принципу большинства, что делает перенаправление или блокировку крайне затруднительными. Такой подход уже встречался в отдельных вредоносных пакетах для NPM, но реализация EtherRAT оказалась значительно сложнее и устойчивее.
Появление нового вредоносного инструмента в цепочке атак React2Shell стало заметным событием на фоне волны взломов, начавшейся после раскрытия уязвимости CVE-2025-55182 . На этот раз речь идёт о гораздо более сложном механизме, чем ранее наблюдавшиеся попытки внедрения криптомайнеров или сборщиков данных. Команда Sysdig TRT выявила необычный компонент, получивший название EtherRAT, который использует сочетание техник из разных кампаний и показывает значительный рост подготовки со стороны злоумышленников.
Специалисты Sysdig обнаружили EtherRAT 5 декабря в скомпрометированном приложении Next.js всего через два дня после публикации критической проблемы в React Server Components. Уязвимость позволяет выполнить произвольный код через один HTTP-запрос, чем активно воспользовались разные группировки. Но новый сценарий атаки выделяется глубиной и продуманностью. Вместо стандартных команд оболочки и жёстко заданных серверов управления здесь применяются собственная цепочка загрузки, внешний JavaScript-компонент и технология управления через блокчейн.
Атака разворачивается по четырёхступенчатой схеме. Сначала выполняется закодированная команда, запускающая загрузчик, который пытается получить скрипт разными способами и перезапускает процесс при неудаче. Далее на устройство загружается официальный дистрибутив Node.js , что скрывает вредоносную активность среди легитимного трафика. После этого запускается шифрованный компонент, расшифровывающий основной модуль. Финальный этап — постоянный модуль EtherRAT, который создаёт устойчивую точку присутствия и поддерживает связь с операторами.
Самым необычным элементом стала система управления через смарт-контракт Ethereum . Вредоносный модуль регулярно обращается к контракту, запрашивая актуальный адрес управляющего сервера. При этом используется девять публичных RPC-узлов, а итоговый адрес выбирается по принципу большинства, что делает перенаправление или блокировку крайне затруднительными. Такой подход уже встречался в отдельных вредоносных пакетах для NPM, но реализация EtherRAT оказалась значительно сложнее и устойчивее.