ظهور برنامج EtherRAT الخبيث الجديد مستغلاً ثغرة React2Shell الأمنية
كشفت تقارير أمنية حديثة عن ظهور برنامج خبيث جديد يُدعى EtherRAT، والذي يُعتقد أن جهات مرتبطة بكوريا الشمالية تقف وراء استخدامه. يستغل هذا البرنامج ثغرة أمنية حرجة اكتُشفت مؤخراً في React Server Components (RSC) تُعرف باسم React2Shell.
يتميز EtherRAT باستخدامه لعقود Ethereum الذكية لتحديد خوادم القيادة والتحكم (C2)، بالإضافة إلى آلية بقاء مستقلة على أنظمة Linux، وقدرته على تحميل بيئة تشغيل Node.js الخاصة به. يبرز هذا الاكتشاف تطور أساليب الهجوم السيبراني، مشيراً إلى احتمالية وقوع هجمات متزايدة ذات طابع دولي.
تفاصيل الاستغلال والبرنامج الجديد
وفقاً لتقرير شركة Sysdig المتخصصة في أمن السحابة، فإن النشاط المرتبط بـ EtherRAT يتقاطع بشكل كبير مع حملة تعرف باسم Contagious Interview. تستخدم هذه الحملة منذ فبراير 2025 تقنية EtherHiding لتوزيع البرامج الضارة، وتستهدف بشكل رئيسي مطوري الويب وتقنيات البلوك تشين.
غالباً ما تبدأ حملة Contagious Interview بخدع تتعلق بفرص وظيفية وهمية، حيث ينتحل المهاجمون صفة مسؤولين عن التوظيف على منصات مثل LinkedIn و Upwork. تهدف هذه الخدع إلى استدراج الضحايا، ومن ثم نشر البرامج الضارة على أجهزتهم.
آلية العمل وتقنية EtherHiding
تبدأ سلسلة الهجوم باستغلال الثغرة الأمنية CVE-2025-55182 في RSC، والتي تحمل تصنيف خطورة أقصى (CVSS: 10.0). يؤدي هذا الاستغلال إلى تنفيذ أمر shell مشفر يقوم بتنزيل وتشغيل سكريبت مسؤول عن نشر برنامج JavaScript الضار الرئيسي.
يعتمد السكريبت على أدوات مثل curl و wget و python3 لتنزيل ملفات Node.js الضرورية. يقوم بعد ذلك بتخزين بيانات مشفرة وبرنامج إسقاط (dropper) مبهم، ثم يحذف السكريبت نفسه لإخفاء أثره قبل تشغيل برنامج الإسقاط.
وظيفة EtherRAT وإجراءات البقاء
يقوم برنامج الإسقاط بفك تشفير حمولة EtherRAT باستخدام مفتاح ثابت، ثم يقوم بتشغيله عبر برنامج Node.js الذي تم تنزيله. تكمن أبرز ميزات EtherRAT في استخدامه لتقنية EtherHiding لجلب عنوان خادم C2 من عقدة Ethereum ذكية كل خمس دقائق. هذا يسمح للمهاجمين بتحديث العناوين بسهولة حتى لو تم اكتشافها.
ما يميز هذا التنفيذ هو اعتماده على آلية تصويت جماعي عبر تسع نقاط نهاية لبروتوكول استدعاء الإجراء عن بعد (RPC) الخاصة بـ Ethereum. يستعلم EtherRAT من جميع النقاط التسع بالتوازي، ويختار العنوان الذي تعيده غالبية النقاط. هذه الآلية تحمي من محاولات تعطيل الاتصال أو توجيه حركة المرور إلى خوادم وهمية.
تطورات حملة Contagious Interview
تتواصل التطورات في حملة Contagious Interview، حيث كشفت تقارير جديدة عن تحول الهجوم من الاعتماد على مستودعات npm إلى استهداف برامج مثل Visual Studio Code (VS Code). تطالب النسخ الجديدة الضحايا باستنساخ مستودع خبيث من منصات مثل GitHub أو GitLab أو Bitbucket، ومن ثم فتحه في VS Code.
يؤدي فتح المشروع إلى تنفيذ تلقائي لملف tasks.json، والذي تم تصميمه لتنزيل سكريبت تحميل. في أنظمة Linux، يقوم هذا السكريبت بتحميل سكريبتات إضافية تعمل كمنصة لإطلاق برامج ضارة أخرى مثل BeaverTail و InvisibleFerret.
التأثيرات والتحديات المستقبلية
تُشكل قدرة EtherRAT على البقاء عبر آليات متعددة، مثل خدمات systemd و XDG autostart ووظائف cron وإدراج .bashrc، تحدياً كبيراً لفرق الأمن. تضمن هذه الآليات استمرار عمل البرمجية حتى بعد إعادة تشغيل النظام، مما يمنح المهاجمين وصولاً مستمراً.
يُعد EtherRAT تطوراً هاماً في استغلال ثغرات React2Shell، حيث يتجاوز مرحلة تعدين العملات الرقمية وسرقة بيانات الاعتماد، ليتحول إلى أداة وصول مستتر ومصمم للعمليات طويلة الأمد. سواء كان هذا يمثل تحولاً لجهات كورية شمالية إلى نواقل استغلال جديدة، أو مجرد استعارة لتقنيات متقدمة من قبل جهات أخرى، فإن النتيجة تظل واحدة: مواجهة أدوات هجوم جديدة وصعبة تتحدى أساليب الكشف والتعطيل التقليدية.