North Korean hackers exploit React2Shell flaw in EtherRAT malware attacks
Mis à jour :
EtherRAT : Le nouveau malware nord-coréen tirant parti des vulnérabilités de React/Next.js
Une nouvelle menace logicielle malveillante, nommée EtherRAT, a été détectée et est associée à des acteurs de menace nord-coréens. Son déploiement tire parti de la vulnérabilité critique React2Shell (CVE-2025-55182), une faille de désérialisation dans le protocole “Flight” des React Server Components (RSC) des frameworks React et Next.js. Cette vulnérabilité permet une exécution de code à distance non authentifiée via des requêtes HTTP spécialement conçues, affectant un grand nombre d’environnements cloud.
Points clés :
- Exploitation de React2Shell : EtherRAT utilise la vulnérabilité React2Shell pour exécuter des commandes initiales sur les systèmes cibles.
- Communication via Ethereum : Le malware communique avec ses opérateurs via des contrats intelligents Ethereum, rendant sa détection et son démantèlement plus complexes. Il interroge plusieurs fournisseurs RPC Ethereum pour la résilience.
- Persistance avancée sous Linux : EtherRAT met en place cinq mécanismes de persistance distincts sur les systèmes Linux : tâches cron, injection dans .bashrc, autostart XDG, service utilisateur systemd et injection dans le profil.
- Auto-mise à jour : Le malware peut se mettre à jour en téléchargeant de nouvelles versions de son code source et en les exécutant, ce qui lui permet d’éviter les détections statiques.
- Similitudes avec des opérations antérieures : Des similitudes ont été observées avec des malwares associés à des campagnes nord-coréennes telles que “Contagious Interview”, notamment l’utilisation de schémas de chargement chiffrés similaires à ceux de BeaverTail.
Vulnérabilités :
- CVE-2025-55182 (React2Shell) : Une faille de désérialisation critique dans le protocole “Flight” de React Server Components (RSC) permettant l’exécution de code à distance.
Recommandations :
- Mise à jour des frameworks : Les administrateurs système utilisant React/Next.js doivent impérativement mettre à jour vers des versions sécurisées pour corriger la vulnérabilité React2Shell.
- Surveillance des mécanismes de persistance : Vérifier la présence des cinq mécanismes de persistance sous Linux déployés par EtherRAT.
- Surveillance du trafic Ethereum : Surveiller le trafic RPC Ethereum pour détecter toute communication suspecte avec les contrats intelligents.
- Analyse des logs applicatifs : Examiner les journaux des applications pour identifier les signes d’exploitation ou d’activité malveillante.
- Rotation des identifiants : Mettre en œuvre une rotation régulière des identifiants pour limiter l’impact potentiel d’un vol de données.
- Consulter les indicateurs de compromission (IoCs) : Examiner les IoCs fournis par les chercheurs pour identifier l’infrastructure de staging et les contrats Ethereum associés à EtherRAT.