北朝鮮ハッカー集団がReact2Shellの脆弱性を悪用
クラウドセキュリティ企業Sysdigの研究者らは、北朝鮮に関連するハッカー集団が「React2Shell」の重大な脆弱性(CVE-2025-55182)を悪用し、新しいマルウェア「EtherRAT」を配布していると報告しました。この攻撃は、React Server Components (RSC) の「Flight」プロトコルにおけるリモートコード実行の欠陥を突くもので、脆弱性公開からわずか2日後に攻撃が観測されています。
React2Shell脆弱性の概要と広がる被害
React2Shellは、React Server Components (RSC) の「Flight」プロトールにおける最大深刻度の逆シリアル化の脆弱性です。細工されたHTTPリクエストを通じて、認証なしでリモートからコードを実行することが可能になります。この脆弱性はReact/Next.jsを実行する多数のクラウド環境に影響を与え、公開から数時間で実世界での悪用が始まりました。
中国関連のグループ「Earth Lamia」や「Jackpot Panda」がこの脆弱性を悪用した最初の脅威アクターとされており、自動化されたエクスプロイトもその後確認されています。すでに30を超える組織が侵害され、認証情報の窃取、クリプトマイニング、コモディティ型バックドアの展開が行われているとのことです。
EtherRATマルウェアの攻撃チェーン
EtherRATは多段階の攻撃チェーンを利用します。まず、React2Shellの脆弱性を悪用して、ターゲット上でBase64エンコードされたシェルコマンドを実行します。このコマンドは、curl、wget、またはpython3を使用して悪意のあるシェルスクリプト(s.sh)をダウンロードしようと試み、成功するまで300秒ごとにループします。
スクリプトが取得されると、ユーザーの$HOME/.local/share/に隠しディレクトリを作成し、そこへnodejs.orgから直接正規のNode.js v20.10.0ランタイムをダウンロード・展開します。その後、暗号化されたペイロードと難読化されたJavaScriptドロッパーを書き込み、ダウンロードしたNodeバイナリを使って実行し、自己削除します。難読化されたJavaScriptドロッパー(.kxnzl4mtez.js)は、暗号化されたブロブをハードコードされたAES-256-CBCキーで復号し、その結果を別の隠しJavaScriptファイルとして書き込みます。この復号されたペイロードがEtherRATインプラントであり、前の段階でインストールされたNode.jsバイナリを使用して展開されます。
EtherRATの高度な機能
EtherRATは、その高度な機能によって既存のマルウェアとは一線を画しています。主な特徴は以下の通りです。
- Ethereumスマートコントラクトを利用したC2通信: 運用上の汎用性とテイクダウンへの耐性を提供するため、EtherRATはEthereumスマートコントラクトをコマンド&コントロール(C2)通信に利用します。9つの公開Ethereum RPCプロバイダに並行してクエリを送信し、過半数の応答を採用することで、単一ノードの汚染やシンクホール化を防ぎます。
- 多層的なLinux永続化メカニズム: 極めて積極的な永続化手法を採用しており、Linuxシステム上で5層の冗長性を確保しています。具体的には、Cronジョブ、bashrcインジェクション、XDG自動起動、Systemdユーザーサービス、プロファイルインジェクションを利用します。これにより、システムのリブートやメンテナンス後も攻撃者が常にアクセスを維持できるようにします。
- オンザフライのペイロード書き換えと回避技術: マルウェアは、C2にランダム化されたCDNのようなURLを500msごとに送信し、オペレーターから返されたJavaScriptをAsyncFunctionコンストラクタを使用して実行します。これは完全にインタラクティブなNode.jsシェルとして機能します。また、自己更新機能も備えており、自身のソースコードをAPIエンドポイントに送信することで、同じ機能を持つが異なる難読化が施されたコードを受信し、自己上書き後に新しいプロセスを生成します。これにより、静的検出の回避や分析妨害、あるいはミッション固有の機能導入に貢献しているとSysdigは推測しています。
北朝鮮のハッカーは以前にも、GoogleやGuardioLabsが報告した「EtherHiding」という技術でスマートコントラクトをマルウェアの配信に利用しています。EtherRATの暗号化されたローダーパターンも、北朝鮮関連の「BeaverTail」マルウェアと酷似しているとSysdig研究者は指摘しています。
システム管理者への推奨事項
React2Shellの悪用が広がる中、システム管理者はできるだけ早く安全なReact/Next.jsバージョンにアップグレードすることが強く推奨されます。Sysdigはレポート内で、EtherRATのステージングインフラストラクチャおよびEthereumコントラクトに関連するIoC(侵害指標)の短いリストも提供しています。ユーザーは、記載されている永続化メカニズムの確認、Ethereum RPCトラフィックの監視、アプリケーションログのレビュー、および認証情報のローテーションを行うべきです。