Lỗ hổng CVE nghiêm trọng: EtherRAT khai thác React2Shell
Một chủng mã độc mới, tinh vi đã được phát hiện nhằm mục tiêu vào các thành phần React Server Components (RSC) dễ bị tổn thương. Đây là dấu hiệu cho thấy sự thay đổi đáng kể trong cách các mối đe dọa mạng khai thác lỗ hổng CVE React2Shell nghiêm trọng đã được công bố chỉ vài ngày trước.
Vào ngày 5 tháng 12 năm 2025, chỉ hai ngày sau khi tiết lộ lỗ hổng bảo mật mức độ nghiêm trọng tối đa CVE-2025-55182 (được gọi là “React2Shell”), Nhóm nghiên cứu đe dọa của Sysdig (TRT) đã phát hiện ra một implant mới tinh vi có tên EtherRAT đang được triển khai vào các ứng dụng Next.js bị xâm nhập.
Phân tích Kỹ thuật Lỗ hổng CVE-2025-55182
Điểm khởi đầu cho chiến dịch này là CVE-2025-55182. Đây là một lỗi deserialization không an toàn trong React Server Components (RSCs), cho phép thực thi mã từ xa (remote code execution) không xác thực chỉ thông qua một yêu cầu HTTP duy nhất.
Lỗ hổng này ảnh hưởng đến React 19.x và các phiên bản Next.js 15.x/16.x sử dụng App Router.
Sau khi được công bố vào ngày 3 tháng 12 năm 2025, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã nhanh chóng thêm nó vào danh mục Các lỗ hổng đang bị khai thác đã biết (Known Exploited Vulnerabilities – KEV), do hoạt động khai thác thực tế tăng vọt.
Cơ chế Hoạt động của Mã độc EtherRAT
Không giống như các cuộc tấn công cơ hội ban đầu chỉ cài đặt các công cụ đào tiền điện tử đơn giản, EtherRAT là một công cụ gián điệp dai dẳng. Mã độc này tận dụng các hợp đồng thông minh Ethereum cho cơ sở hạ tầng Command-and-Control (C2) linh hoạt và khó bị phát hiện.
Cơ chế Command-and-Control (C2) Đột phá: EtherHiding
EtherRAT nổi bật nhờ cơ chế C2 “đồng thuận” độc đáo. Thay vì kết nối với một địa chỉ IP máy chủ cố định có thể bị chặn, mã độc này truy vấn một hợp đồng thông minh Ethereum cụ thể để lấy URL máy chủ lệnh của nó.
Để ngăn chặn việc giả mạo hoặc đầu độc, EtherRAT truy vấn chín điểm cuối RPC (Remote Procedure Call) công cộng riêng biệt, bao gồm Cloudflare, Flashbots và PublicNode. Mã độc này chỉ chấp nhận URL C2 được trả về bởi đa số các điểm cuối này.
Kỹ thuật “EtherHiding” này khiến việc chặn dựa trên IP truyền thống trở nên kém hiệu quả. Đối với các hệ thống phòng thủ, lưu lượng truy cập xuất hiện dưới dạng các yêu cầu HTTPS hợp lệ đến các cổng blockchain nổi tiếng.
Hơn nữa, mã độc ngụy trang lưu lượng truy vấn C2 của nó dưới dạng các yêu cầu đối với tài sản tĩnh (như các tệp .png hoặc .css), hòa lẫn liền mạch với lưu lượng ứng dụng web thông thường.
Phân phối và Né tránh Phát hiện của EtherRAT
Trong một động thái được thiết kế để vượt qua các máy quét chuỗi cung ứng, EtherRAT không tự đóng gói môi trường thời gian chạy của nó. Thay vào đó, dropper tải xuống một bản sao Node.js runtime hợp pháp, đã ký trực tiếp từ phân phối chính thức nodejs.org.
Điều này đảm bảo mã độc có môi trường thực thi ổn định mà không tạo ra các tệp nhị phân đáng ngờ có thể kích hoạt cảnh báo chống virus.
Cơ chế Duy trì Quyền truy cập (Persistence)
Phân tích của Sysdig TRT tiết lộ sự trùng lặp đáng kể về mã giữa EtherRAT và chiến dịch “Contagious Interview”. Tuy nhiên, EtherRAT tinh vi hơn các payload “Contagious Interview” thông thường, với năm cơ chế duy trì quyền truy cập dự phòng (Systemd, XDG, Cron, Bashrc và Profile injection) so với một hoặc hai cơ chế thông thường.
Chỉ số Thỏa hiệp (IOCs) và Khuyến nghị Phòng vệ
Sự kết hợp giữa khai thác zero-day và cơ sở hạ tầng blockchain bất biến khiến EtherRAT trở thành một mối đe dọa mạng đáng gờm.
Các tổ chức đang chạy Next.js hoặc React Server Components phải thực hiện cập nhật bản vá ngay lập tức lên phiên bản 19.2.1 hoặc mới hơn.
Các nhóm bảo mật được khuyến nghị tập trung vào phát hiện runtime của các cơ chế duy trì và các mẫu lưu lượng RPC bất thường, thay vì chỉ dựa vào các chữ ký tệp tĩnh.
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Các hệ thống phòng thủ nên săn lùng các chỉ số sau, đặc biệt là lưu lượng truy cập đi ra các nút RPC Ethereum công cộng từ các máy chủ web, điều này là bất thường cao trong hầu hết các môi trường:
- Lưu lượng truy cập mạng bất thường:
- Lưu lượng HTTPS đi ra đến các điểm cuối RPC Ethereum công cộng (ví dụ: Cloudflare, Flashbots, PublicNode) từ các máy chủ web (Next.js/React).
- Lưu lượng truy vấn C2 được ngụy trang dưới dạng yêu cầu tài sản tĩnh (ví dụ:
.png,.css) đến các cổng blockchain. - Tải xuống Node.js Runtime bất thường:
- Việc tải xuống Node.js runtime từ
nodejs.orgbởi các tiến trình không được ủy quyền trên các máy chủ ứng dụng. - Dấu hiệu duy trì quyền truy cập:
- Các mục cấu hình bất thường trong Systemd, XDG autostart, Cron jobs,
.bashrc, hoặc.profile.
Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo của Sysdig Threat Research Team: EtherRAT: DPRK Uses Novel Ethereum Implant in React2Shell Attacks.
