在近期的 React2Shell 漏洞攻击事件中，一款名为 EtherRAT 的新型恶意植入程序被安全研究人员发现，该程序不仅内置五种独立的 Linux 系统持久化机制，还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为，这款恶意软件的特征与朝鲜黑客组织在 Contagious Interview 攻击活动中使用的工具相符。他们在 React2Shell 高危漏洞（CVE-2025-55182）披露仅两天后，便从某遭入侵的 Next.js 应用中成功提取到 EtherRAT 样本。

EtherRAT 整合了多项复杂功能，包括基于区块链的命令与控制（C2）通信、多层 Linux 持久化、载荷实时重写，以及依托完整 Node.js 运行时环境实现的反检测能力。尽管其与朝鲜 Lazarus 组织发起的 Contagious Interview 攻击存在诸多特征重合，但在多个核心层面仍具备独特性。 

React2Shell 是 React 服务端组件（RSC）Flight 协议中存在的最高级别反序列化漏洞，攻击者可通过特制 HTTP 请求实现无认证远程代码执行。

该漏洞影响大量运行 React/Next.js 的云环境，在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及，已有跨多个行业的至少 30 家组织机构遭入侵，攻击者借此窃取凭证、开展加密货币挖矿，并部署通用型后门程序。

EtherRAT 的攻击链路

Sysdig 指出，EtherRAT 采用多阶段攻击链路，其流程如下：

1. 漏洞利用与初始载荷投放：首先通过 React2Shell 漏洞在目标设备上执行 Base64 编码的 Shell 命令，该命令会尝试通过 curl、wget 或 python3（备选）工具下载恶意 Shell 脚本 s.sh，并每 300 秒循环执行一次直至下载成功。脚本获取后会先经过校验，再被赋予可执行权限并启动。

脚本逻辑

2. 运行时环境部署：脚本会在用户目录 $HOME/.local/share/ 下创建隐藏文件夹，从 nodejs.org 直接下载并解压合法的 Node.js v20.10.0 运行时环境。随后写入加密载荷数据块与混淆后的 JavaScript 投放器，通过已下载的 Node 二进制文件执行投放器，执行完毕后脚本会自行删除。

3. 恶意程序解密与加载：名为 .kxnzl4mtez.js 的混淆 JavaScript 投放器会读取加密数据块，通过硬编码的 AES-256-CBC 密钥完成解密，并将解密结果写入另一隐藏 JavaScript 文件。该解密后的文件即为 EtherRAT 植入程序，最终通过前一阶段安装的 Node.js 环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的 C2 通信

EtherRAT 采用以太坊智能合约实现 C2 操作，该方式不仅具备灵活的运营能力，还能有效抵御反制与关停措施。其会并行查询 9 个公共以太坊 RPC 节点，并以多数节点的响应结果为准，可防止单点节点投毒或域名劫持攻击。

此外，该恶意软件每 500 毫秒便会向 C2 发送随机生成的类 CDN 格式 URL，并通过 AsyncFunction 构造器执行攻击者下发的 JavaScript 代码，形成可完全交互的 Node.js 命令行环境。

构建随机 URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发，该技术被称为 EtherHiding，谷歌与 GuardioLabs 均曾发布相关技术报告。

Linux 系统的五层持久化机制

EtherRAT 在 Linux 系统中具备极强的持久化能力，通过部署五层冗余机制确保控制权不丢失，具体包括：

·定时任务（Cron jobs）

·bashrc 配置注入

·XDG 自动启动项

·Systemd 用户服务

·配置文件（Profile）注入

借助多维度持久化手段，即便目标系统经历重启或运维操作，攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT 的另一独特功能是可通过向 API 端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码，完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测，也可阻碍逆向分析，同时支持按需加载特定攻击功能。

鉴于目前 React2Shell 漏洞已被多方黑客组织利用，系统管理员需尽快将 React/Next.js 版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊 RPC 相关流量、审计应用程序日志，并及时轮换各类账户凭证。