قراصنة كوريا الشمالية يستغلون ثغرة React2Shell لإطلاق EtherRAT المتخفي - سلاح إلكتروني مدعوم بتقنية البلوكشين

جيل جديد من البرمجيات الخبيثة يستغل أدوات المطورين، متجنبًا الاكتشاف عبر التحكم والقيادة المدعومين بإيثيريوم وتكتيكات إصرار لا تلين.

بدأ الأمر كأي عرض عمل آخر - رسالة مغرية من مجند، مشروع واعد، مهمة برمجية سريعة. لكن بالنسبة لعشرات المطورين، كانت هذه الخطوة الأولى في حملة إلكترونية سرية من كوريا الشمالية تستغل ثغرة React2Shell المكتشفة حديثًا - وتنتهي بـ EtherRAT، حصان طروادة للوصول عن بُعد يخفي آثاره في البلوكشين ويرفض الموت.

حقائق سريعة

React2Shell (CVE-2025-55182): ثغرة حرجة في React Server Components يستغلها الآن جهات تهديد من كوريا الشمالية.
EtherRAT: حصان طروادة جديد للوصول عن بُعد يستخدم عقود إيثيريوم الذكية للتحكم والقيادة الديناميكيين.
مقابلة معدية: حملة هندسة اجتماعية طويلة الأمد تستهدف المطورين عبر عروض عمل وهمية.
إصرار متعدد الجوانب: خمسة آليات في لينكس تضمن بقاء EtherRAT بعد إعادة التشغيل ومحاولات الإزالة.
تحديث ذاتي وتخفي: يحصل EtherRAT على تحديثات مشفرة، متجنبًا اكتشاف البرمجيات الخبيثة التقليدية.

من عرض العمل إلى الباب الخلفي: الوجه الجديد للهجمات الموجهة للمطورين

أصبح القراصنة المرتبطون بكوريا الشمالية أحدث وأكثر الجهات تطورًا في تسليح ثغرة React2Shell الحرجة، مستهدفين المطورين بدليل تكتيكات متطور. تبدأ الحملة، التي أطلق عليها اسم "المقابلة المعدية"، برسائل توظيف مزيفة على LinkedIn أو Upwork أو Fiverr. يتم إغراء الضحايا باستنساخ مستودع كود أو إكمال مهمة تقنية، وهي خدعة تُطلق سلسلة البرمجيات الخبيثة.

يستغل المهاجمون ثغرة React2Shell (CVE-2025-55182)، مما يمكّنهم من تنفيذ أمر شل مخفي على جهاز الضحية. يقوم هذا الأمر بتنزيل سكريبت يجلب بيئة Node.js، ويكتب ملفًا مشفرًا وملف جافاسكريبت مشفر آخر، ثم يمسح آثاره. يقوم الملف المشفر بفك التشفير وتشغيل EtherRAT، جوهرة الحملة.

EtherRAT: مدعوم بالبلوكشين، لا يلين، وقابل للتكيف

ما يجعل EtherRAT خبيثًا بشكل خاص هو آلية التحكم والقيادة (C2) الخاصة به. بدلاً من الاعتماد على خوادم تقليدية، يحصل EtherRAT على عنوان C2 الخاص به من عقد ذكي على إيثيريوم كل خمس دقائق. يستعلم تسعة نقاط نهاية عامة لإيثيريوم ويختار C2 الذي يستخدمه الأغلبية - مما يصعب حظر أو اختراق حركة المرور الخاصة به. هذا النهج القائم على "تصويت الإجماع"، إلى جانب قوة البلوكشين، يجعل بنية EtherRAT التحتية شبه مستحيلة الإزالة.

الإصرار هو سمة أخرى بارزة. يتعمق EtherRAT في النظام، مستخدمًا خمس طرق إصرار منفصلة في لينكس - من خدمات systemd إلى حقن .bashrc وprofile - مما يضمن بقاؤه بعد إعادة التشغيل ومحاولات الإزالة. قدرته على التحديث الذاتي، بجلب كود جديد مشفر بشكل مختلف من C2 الخاص به، تمكنه من تجاوز توقيعات مضادات الفيروسات الثابتة.

تتبع الباحثون نسب EtherRAT إلى برمجيات خبيثة سابقة مثل BeaverTail، ولاحظوا تشابهات في محملات التشفير وطرق التسليم. تطورت الحملة بسرعة، منتقلة من هجمات حزم npm إلى استغلال ميزات التشغيل التلقائي في Visual Studio Code عبر مستودعات GitHub خبيثة.

الخلاصة: عصر جديد من التجسس الإلكتروني المتخفي والمستمر

سواء كان EtherRAT يشير إلى تحول كوري شمالي نحو البرمجيات الخبيثة المدعومة بالبلوكشين أو هو نتاج تبادل تقنيات متقدمة بين جهات التهديد، فإن النتيجة واضحة: المدافعون يواجهون خصمًا مرنًا ومتطورًا باستمرار. مع استخدام EtherRAT لبلوكشين إيثيريوم وسلاسل هجوم تركز على المطورين، أصبح الخط الفاصل بين الابتكار البرمجي والتخفي الإلكتروني أرق من أي وقت مضى. اليقظة والأمن متعدد الطبقات أصبحا الآن أكثر أهمية من أي وقت مضى في بيئة المطورين.