Los actores de amenazas con vínculos con Corea del Norte probablemente se hayan convertido en los últimos en explotar la falla crítica de seguridad React2Shell recientemente revelada en React Server Components (RSC) para entregar un troyano de acceso remoto previamente indocumentado denominado ÉterRAT.
«EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), implementa cinco mecanismos independientes de persistencia de Linux y descarga su propio tiempo de ejecución Node.js desde nodejs.org», dijo Sysdig en un informe publicado el lunes.
La empresa de seguridad en la nube dijo que la actividad muestra una superposición significativa con una campaña de larga duración con nombre en código Contagious Interview, que se ha observado aprovechando la técnica EtherHiding para distribuir malware desde febrero de 2025.
Contagious Interview es el nombre que se le da a una serie de ataques en los que los desarrolladores de blockchain y Web3, entre otros, son atacados a través de entrevistas de trabajo falsas, tareas de codificación y evaluaciones en video, lo que conduce a la implementación de malware. Estos esfuerzos suelen comenzar con una artimaña que atrae a las víctimas a través de plataformas como LinkedIn, Upwork o Fiverr, donde los actores de la amenaza se hacen pasar por reclutadores que ofrecen lucrativas oportunidades laborales.
Según la empresa de seguridad de la cadena de suministro de software Socket, es una de las campañas más prolíficas que explota el ecosistema npm, destacando su capacidad para adaptarse a JavaScript y a flujos de trabajo centrados en criptomonedas.
La cadena de ataque comienza con la explotación de CVE-2025-55182 (puntaje CVSS: 10.0), una vulnerabilidad de seguridad de máxima gravedad en RSC, para ejecutar un comando de shell codificado en Base64 que descarga y ejecuta un script de shell responsable de implementar el implante principal de JavaScript.
El script de shell se recupera mediante un comando curl, con wget y python3 como opciones alternativas. También está diseñado para preparar el entorno descargando Node.js v20.10.0 desde nodejs.org, tras lo cual escribe en el disco un blob cifrado y un cuentagotas de JavaScript ofuscado. Una vez que se completan todos estos pasos, procede a eliminar el script de shell para minimizar el rastro forense y ejecuta el cuentagotas.
El objetivo principal del cuentagotas es descifrar la carga útil de EtherRAT con una clave codificada y generarla utilizando el binario Node.js descargado. El malware se destaca por usar EtherHiding para obtener la URL del servidor C2 de un contrato inteligente de Ethereum cada cinco minutos, lo que permite a los operadores actualizar la URL fácilmente, incluso si se elimina.
«Lo que hace que esta implementación sea única es su uso de votación por consenso en nueve puntos finales públicos de llamada a procedimiento remoto (RPC) de Ethereum», dijo Sysdig. «EtherRAT consulta los nueve puntos finales en paralelo, recopila respuestas y selecciona la URL devuelta por la mayoría».
«Este mecanismo de consenso protege contra varios escenarios de ataque: un único punto final RPC comprometido no puede redirigir a los robots a un sumidero, y los investigadores no pueden envenenar la resolución C2 operando un nodo RPC no autorizado».
Vale la pena señalar que anteriormente se observó una implementación similar en dos paquetes npm llamados colortoolsv2 y mimelib2 que entregaban malware de descarga en los sistemas de los desarrolladores.
Una vez que EtherRAT establece contacto con el servidor C2, ingresa a un ciclo de sondeo que se ejecuta cada 500 milisegundos, interpretando cualquier respuesta que tenga más de 10 caracteres como código JavaScript que se ejecutará en la máquina infectada. La persistencia se logra mediante el uso de cinco métodos diferentes:
- servicio de usuario systemd
- Entrada de inicio automático XDG
- Trabajos cron
- inyección .bashrc
- Inyección de perfil
Al utilizar múltiples mecanismos, los actores de amenazas pueden garantizar que el malware se ejecute incluso después de reiniciar el sistema y les otorgue acceso continuo a los sistemas infectados. Otra señal que apunta a la sofisticación del malware es la capacidad de autoactualización que se sobrescribe con el nuevo código recibido del servidor C2 después de enviar su propio código fuente a un punto final API.
Luego inicia un nuevo proceso con la carga útil actualizada. Lo que es notable aquí es que el C2 devuelve una versión funcionalmente idéntica pero diferentemente ofuscada, lo que posiblemente le permita evitar la detección estática basada en firmas.
Además del uso de EtherHiding, los enlaces a Contagious Interview surgen de superposiciones entre el patrón de carga cifrado utilizado en EtherRAT y un conocido ladrón y descargador de información JavaScript llamado BeaverTail.
«EtherRAT representa una evolución significativa en la explotación de React2Shell, yendo más allá de la criptominería oportunista y el robo de credenciales hacia un acceso persistente y sigiloso diseñado para operaciones a largo plazo», dijo Sysdig.
«Ya sea que esto represente que los actores norcoreanos recurran a nuevos vectores de explotación o que otro actor tome prestadas técnicas sofisticadas, el resultado es el mismo: los defensores enfrentan un nuevo implante desafiante que resiste los métodos tradicionales de detección y eliminación».
La entrevista contagiosa cambia de npm a VS Code
La divulgación se produce cuando OpenSourceMalware reveló detalles de una nueva variante de Entrevista Contagiosa que insta a las víctimas a clonar un repositorio malicioso en GitHub, GitLab o Bitbucket como parte de una tarea de programación y lanzar el proyecto en Microsoft Visual Studio Code (VS Code).
Esto da como resultado la ejecución de un archivo Tasks.json de VS Code debido a que está configurado con runOptions.runOn: ‘folderOpen’, lo que hace que se ejecute automáticamente tan pronto como se abre el proyecto. El archivo está diseñado para descargar un script de carga usando curl o wget según el sistema operativo del host comprometido.
En el caso de Linux, la siguiente etapa es un script de shell que descarga y ejecuta otro script de shell llamado «vscode-bootstrap.sh», que luego recupera dos archivos más, «package.json» y «env-setup.js», el último de los cuales sirve como plataforma de lanzamiento para BeaverTail e InvisibleFerret.
OpenSourceMalware dijo que identificó 13 versiones diferentes de esta campaña repartidas en 27 usuarios diferentes de GitHub y 11 versiones diferentes de BeaverTail. El repositorio más antiguo («github(.)com/MentarisHub121/TokenPresaleApp») se remonta al 22 de abril de 2025, y la versión más reciente («github(.)com/eferos93/test4») se creó el 1 de diciembre de 2025.
«Los actores de amenazas de la RPDC han acudido en masa a Vercel y ahora lo utilizan casi exclusivamente», dijo el equipo de OpenSourceMalware. «No sabemos por qué, pero Contagious Interview ha dejado de usar Fly.io, Platform.sh, Render y otros proveedores de alojamiento».
