Peretas Korea Utara Eksploitasi Celah React2Shell dengan Malware EtherRAT
Sebuah ancaman baru muncul di dunia siber dengan ditemukannya EtherRAT, malware canggih yang memanfaatkan kerentanan kritis React2Shell untuk menyerang sistem berbasis Linux. Malware ini tidak hanya menanamkan lima mekanisme persistence berbeda, tetapi juga menggunakan kontrak pintar Ethereum sebagai sarana komunikasi dengan operatornya.
Serangan Berbasis React2Shell
Kerentanan React2Shell, yang dilacak sebagai CVE-2025-55182, merupakan cacat deserialisasi dengan tingkat keparahan maksimum pada protokol React Server Components (RSC) Flight. Celah ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi melalui permintaan HTTP yang dimanipulasi.
Eksploitasi terhadap celah ini terjadi hanya beberapa jam setelah pengungkapan publik, dengan kelompok peretas asal Tiongkok seperti Earth Lamia dan Jackpot Panda tercatat sebagai pelaku awal. Serangan otomatis kemudian menyasar puluhan organisasi lintas sektor untuk mencuri kredensial, melakukan cryptomining, hingga memasang backdoor komoditas.
Rantai Serangan EtherRAT
Menurut analisis Sysdig, serangan EtherRAT dimulai dengan eksekusi perintah shell berformat base64 melalui celah React2Shell. Perintah ini berulang setiap 300 detik untuk mengunduh skrip berbahaya (s.sh) menggunakan curl, wget, atau python3.
Skrip tersebut membuat direktori tersembunyi di $HOME/.local/share/, lalu mengunduh dan mengekstrak runtime Node.js versi 20.10.0 langsung dari situs resmi. Setelah itu, skrip menulis payload terenkripsi dan dropper JavaScript terobfusikasi yang dijalankan menggunakan Node binary, sebelum akhirnya menghapus dirinya sendiri.
Dropper ini mendekripsi payload menggunakan kunci AES-256-CBC yang sudah ditanamkan, menghasilkan file JavaScript tersembunyi baru yang berisi implant EtherRAT.
Fitur Canggih EtherRAT
EtherRAT menonjol dengan penggunaan kontrak pintar Ethereum sebagai mekanisme command-and-control (C2). Dengan mengakses sembilan penyedia RPC Ethereum secara paralel dan memilih hasil mayoritas, malware ini mampu menghindari serangan sinkholing maupun manipulasi node tunggal.
Setiap 500 milidetik, EtherRAT mengirimkan URL acak mirip CDN ke server C2 dan mengeksekusi JavaScript yang diterima menggunakan AsyncFunction, menjadikannya shell Node.js interaktif penuh.
Teknik ini mirip dengan metode EtherHiding yang sebelumnya digunakan oleh peretas Korea Utara dalam kampanye Contagious Interview. Sysdig juga mencatat pola loader terenkripsi EtherRAT menyerupai malware BeaverTail yang terkait dengan DPRK.
Mekanisme Persistence di Linux
EtherRAT dikenal sangat agresif dalam mempertahankan akses ke sistem Linux. Malware ini memasang lima lapisan persistence sekaligus, yaitu:
- Cron jobs
- bashrc injection
- XDG autostart
- Systemd user service
- Profile injection
Dengan redundansi ini, operator memastikan akses tetap terjaga meski sistem mengalami reboot atau pemeliharaan.
Selain itu, EtherRAT memiliki kemampuan self-update dengan mengirimkan kode sumber ke API tertentu. Malware kemudian menerima versi baru dengan obfusikasi berbeda, menimpa dirinya, dan menjalankan proses baru. Mekanisme ini membantu menghindari deteksi statis sekaligus memungkinkan penyesuaian fungsi sesuai misi.
Rekomendasi Mitigasi
Dengan maraknya eksploitasi React2Shell oleh berbagai aktor, administrator sistem disarankan segera memperbarui React/Next.js ke versi aman. Sysdig juga membagikan indikator kompromi (IoCs) terkait infrastruktur EtherRAT dan kontrak Ethereum yang digunakan.
Langkah mitigasi yang direkomendasikan meliputi pemeriksaan mekanisme persistence, pemantauan trafik RPC Ethereum, peninjauan log aplikasi, serta rotasi kredensial secara berkala.
