Es probable que los actores de amenazas con vínculos con Corea del Norte se hayan convertido en los últimos en explotar la seguridad crítica revelada recientemente. Defecto de React2Shell en React Server Components (RSC) para entregar un troyano de acceso remoto previamente indocumentado denominado Rata etérea .
«EtherRAT aprovecha los contratos inteligentes de Ethereum para la resolución de comando y control (C2), implementa cinco mecanismos de persistencia de Linux independientes y descarga su propio tiempo de ejecución de Node.js desde nodejs.org», Sysdig dijo en un informe publicado el lunes.
La empresa de seguridad en la nube dijo que la actividad muestra una superposición significativa con una campaña de larga duración con nombre en código. Entrevista contagiosa , que se ha observado aprovechando la Ocultación de éter técnica para distribuir malware desde febrero de 2025.
Contagious Interview es el nombre que se le da a una serie de ataques en los que los desarrolladores de cadenas de bloques y Web3, entre otros, son atacados mediante entrevistas de trabajo falsas, tareas de codificación y evaluaciones de vídeo, lo que lleva al despliegue de malware. Por lo general, estos esfuerzos comienzan con una artimaña que atrae a las víctimas a través de plataformas como LinkedIn, Upwork o Fiverr, donde los atacantes se hacen pasar por reclutadores que ofrecen lucrativas oportunidades laborales.
Según la empresa de seguridad de la cadena de suministro de software Socket, es una de las campañas más prolíficas que explota el ecosistema npm, destacando su capacidad para adaptarse a los flujos de trabajo centrados en JavaScript y las criptomonedas.
La cadena de ataques comienza con la explotación de CVE-2025-55182 (puntuación CVSS: 10,0), una vulnerabilidad de seguridad de máxima gravedad en RSC, para ejecutar un comando de shell codificado en Base64 que descarga y ejecuta un script de shell responsable de implementar el implante principal de JavaScript.
El script de shell se recupera mediante un comando curl, y wget y python3 se utilizan como alternativas. También está diseñado para preparar el entorno mediante la descarga de la versión 20.10.0 de Node.js desde nodejs.org, tras lo cual escribe en el disco un blob cifrado y un cuentagotas de JavaScript ofuscado. Una vez completados todos estos pasos, procede a eliminar el script del shell para minimizar el rastro forense y ejecuta el dropper.
El objetivo principal del dropper es descifrar la carga útil de EtherRAT con una clave codificada y generarla con el binario Node.js descargado. El malware destaca por utilizar EtherHiding para obtener la URL del servidor C2 de un contrato inteligente de Ethereum cada cinco minutos, lo que permite a los operadores actualizar la URL fácilmente, incluso si está eliminada.
«Lo que hace que esta implementación sea única es el uso de la votación por consenso en nueve puntos finales públicos de llamadas a procedimientos remotos (RPC) de Ethereum», dijo Sysdig. «EtherRAT consulta los nueve puntos finales en paralelo, recopila las respuestas y selecciona la URL devuelta por la mayoría».
«Este mecanismo de consenso protege contra varios escenarios de ataque: un único punto final de RPC comprometido no puede redirigir a los bots a un sumidero y los investigadores no pueden envenenar la resolución de C2 operando un nodo de RPC no autorizado».
Vale la pena señalar que una implementación similar fue observado anteriormente en dos paquetes npm denominados colortoolsv2 y mimelib2 que, según se descubrió, distribuían malware de descarga en los sistemas de los desarrolladores.
Una vez que EtherRAT establece contacto con el servidor C2, entra en un ciclo de sondeo que se ejecuta cada 500 milisegundos e interpreta cualquier respuesta que tenga más de 10 caracteres como código JavaScript que se ejecutará en la máquina infectada. La persistencia se logra mediante el uso de cinco métodos diferentes:
- Servicio de usuario de Systemd
- Entrada de inicio automático XDG
- Empleos en Cron
- Inyección.bashrc
- Inyección de perfiles
Mediante el uso de múltiples mecanismos, los actores de amenazas pueden garantizar que el malware se ejecute incluso después de reiniciar el sistema y les otorga acceso continuo a los sistemas infectados. Otro indicio de la sofisticación del malware es la capacidad de actualización automática, que se sobrescribe con el nuevo código recibido del servidor C2 tras enviar su propio código fuente a un punto final de la API.
A continuación, lanza un nuevo proceso con la carga útil actualizada. Lo que cabe destacar aquí es que el C2 devuelve una versión funcionalmente idéntica pero con una ofuscación diferente, lo que posiblemente le permita eludir la detección basada en firmas estáticas.
Además del uso de EtherHiding, los enlaces a Contagious Interview provienen de superposiciones entre el patrón de carga cifrado utilizado en EtherRAT y un conocido descargador y ladrón de información de JavaScript llamado Cola de castor .
«EtherRAT representa una evolución significativa en la explotación de React2Shell, que va más allá de la criptominería oportunista y el robo de credenciales hacia un acceso persistente y sigiloso diseñado para operaciones a largo plazo», dijo Sysdig.
«Ya sea que se trate de que actores norcoreanos optan por nuevos vectores de explotación o de que otro actor tome prestadas técnicas sofisticadas, el resultado es el mismo: los defensores se enfrentan a un nuevo y desafiante implante que se resiste a los métodos tradicionales de detección y eliminación».
La entrevista contagiosa pasa de npm a VS Code
La revelación se produce como OpenSourceMalware revelada detalles de una nueva variante de Contagious Interview que insta a las víctimas a clonar un repositorio malicioso en GitHub, GitLab o Bitbucket como parte de una tarea de programación y a lanzar el proyecto en Microsoft Visual Studio Code (VS Code).
Esto resulta en la ejecución de un código VS archivo tasks.json debido a que está configurado con runOptions.runOn: 'Carpeta abierta', haciendo que se ejecute automáticamente tan pronto como se abra el proyecto. El archivo está diseñado para descargar un script de carga usando curl o wget en función del sistema operativo del host comprometido.
En el caso de Linux, la siguiente etapa es un script de shell que descarga y ejecuta otro script de shell llamado "vscode-bootstrap.sh», que luego obtiene dos archivos más, «package.json» y "env-setup.js», el último de los cuales sirve como plataforma de lanzamiento para BeaverTail e InvisibleFerret.
OpenSourceMalware dijo que identificó 13 versiones diferentes de esta campaña distribuidas entre 27 usuarios diferentes de GitHub y 11 versiones diferentes de BeaverTail. El repositorio más antiguo («github [.] com/mentarishub121/tokenpresaleApp») data del 22 de abril de 2025 y la versión más reciente («github [.] com/eferos93/test4") se creó el 1 de diciembre de 2025.
«Los actores de amenazas de la RPDC han acudido en masa a Vercel y ahora lo utilizan casi exclusivamente», dijo el equipo de OpenSourceMalware. «No sabemos por qué, pero Contagious Interview ha dejado de usar FlyIO, Platform.sh, Render y otros proveedores de alojamiento».