Aggregator

在近期的React2Shell漏洞攻击事件中，一款名为EtherRAT的新型恶意植入程序被安全研究人员发现，该程序不仅内置五种独立的Linux系统持久化机制，还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为，这款恶意软件的特征与朝鲜黑客组织在Contagious Interview攻击活动中使用的工具相符。他们在React2Shell高危漏洞（CVE-2025-55182）披露仅两天后，便从某遭入侵的Next.js应用中成功提取到EtherRAT样本。

EtherRAT整合了多项复杂功能，包括基于区块链的命令与控制（C2）通信、多层Linux持久化、载荷实时重写，以及依托完整Node.js运行时环境实现的反检测能力。尽管其与朝鲜Lazarus组织发起的Contagious Interview攻击存在诸多特征重合，但在多个核心层面仍具备独特性。 

React2Shell是React服务端组件（RSC）Flight协议中存在的最高级别反序列化漏洞，攻击者可通过特制HTTP请求实现无认证远程代码执行。

该漏洞影响大量运行React/Next.js的云环境，在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及，已有跨多个行业的至少30家组织机构遭入侵，攻击者借此窃取凭证、开展加密货币挖矿，并部署通用型后门程序。

EtherRAT的攻击链路

Sysdig指出，EtherRAT采用多阶段攻击链路，其流程如下：

1. 漏洞利用与初始载荷投放：首先通过React2Shell漏洞在目标设备上执行Base64编码的Shell命令，该命令会尝试通过curl、wget或python3（备选）工具下载恶意Shell脚本s.sh，并每300秒循环执行一次直至下载成功。脚本获取后会先经过校验，再被赋予可执行权限并启动。

脚本逻辑

2. 运行时环境部署：脚本会在用户目录$HOME/.local/share/下创建隐藏文件夹，从nodejs.org直接下载并解压合法的Node.js v20.10.0运行时环境。随后写入加密载荷数据块与混淆后的JavaScript投放器，通过已下载的Node二进制文件执行投放器，执行完毕后脚本会自行删除。

3. 恶意程序解密与加载：名为.kxnzl4mtez.js的混淆JavaScript投放器会读取加密数据块，通过硬编码的AES-256-CBC密钥完成解密，并将解密结果写入另一隐藏JavaScript文件。该解密后的文件即为EtherRAT植入程序，最终通过前一阶段安装的Node.js环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的C2通信

EtherRAT采用以太坊智能合约实现C2操作，该方式不仅具备灵活的运营能力，还能有效抵御反制与关停措施。其会并行查询9个公共以太坊RPC节点，并以多数节点的响应结果为准，可防止单点节点投毒或域名劫持攻击。

此外，该恶意软件每500毫秒便会向C2发送随机生成的类CDN格式URL，并通过AsyncFunction构造器执行攻击者下发的JavaScript代码，形成可完全交互的Node.js命令行环境。

构建随机URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发，该技术被称为EtherHiding，谷歌与GuardioLabs均曾发布相关技术报告。

Linux系统的五层持久化机制

EtherRAT在Linux系统中具备极强的持久化能力，通过部署五层冗余机制确保控制权不丢失，具体包括：

·定时任务（Cron jobs）

·bashrc配置注入

·XDG自动启动项

·Systemd用户服务

·配置文件（Profile）注入

借助多维度持久化手段，即便目标系统经历重启或运维操作，攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT的另一独特功能是可通过向API端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码，完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测，也可阻碍逆向分析，同时支持按需加载特定攻击功能。

鉴于目前React2Shell漏洞已被多方黑客组织利用，系统管理员需尽快将React/Next.js版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊RPC相关流量、审计应用程序日志，并及时轮换各类账户凭证。

GroupPolicyBackdoor is a python utility for Group Policy Objects (GPOs) manipulation and exploitation. GPO attack vectors can very often

The post GPO Stealth: Turn Active Directory Into Your C2 With the New GroupPolicyBackdoor Framework appeared first on Penetration Testing Tools.

安全研究员最新发现，一款隐蔽的恶意攻击活动自2月起持续活跃，攻击者在微软VS Code应用市场上架19款恶意扩展程序，通过在依赖文件夹中植入恶意软件的方式，专门针对开发者发起攻击。调查显示攻击者使用了一个伪装成.PNG格式图片的恶意文件实施攻击。 

VS Code应用市场是微软为其广受欢迎的VS Code集成开发环境（IDE）打造的官方扩展门户，开发者可通过该平台下载扩展程序，实现功能拓展或界面个性化定制。

由于该平台用户基数庞大，且存在引发高危害性供应链攻击的潜在风险，一直以来都是威胁者的重点攻击目标，相关攻击手段也在不断迭代升级。

据观察，这些恶意扩展程序均预先打包了node_modules文件夹，以此规避VS Code在安装过程中从npm软件源获取依赖组件的流程。

攻击者在这个内置的依赖文件夹中植入了经过篡改的依赖包，涉及path-is-absolute与@actions/io两款组件，并在其index.js文件中添加了一个恶意类。该恶意类会在VS Code集成开发环境启动时自动执行。

恶意代码添加到index.js文件

需要特别指出的是，path-is-absolute是一款在npm平台上极为热门的软件包，自2021年以来累计下载量已达数十亿次，而此次被植入恶意代码的版本仅存在于该攻击活动涉及的19款扩展程序中。

index.js文件中新增的恶意类，会对一个名为lock的文件内的混淆型JavaScript投放程序进行解码。此外，依赖文件夹中还包含一个伪装成.PNG图片文件（文件名为banner.png）的压缩包，其中藏匿着两款恶意二进制文件：一款是名为cmstp.exe的合法系统工具滥用程序（LoLBin） ，另一款则是基于Rust语言开发的木马程序。

目前，安全研究员仍在对这款木马程序展开分析，以明确其全部功能。

研究人员表示，该攻击活动涉及的19款VS Code恶意扩展程序，名称均基于以下名称变体衍生而来，且发布版本号均为1.0.0：

·Malkolm Theme

·PandaExpress Theme

·Prada 555 Theme

·Priskinski Theme 

目前，涉事的19款恶意扩展程序现已全部被下架处理。但对于此前已安装这些扩展程序的用户而言，需立即对自身系统进行扫描，排查是否存在被入侵的痕迹。

鉴于威胁者持续开发新手段，规避软件开发常用公共代码仓库的安全检测，安全人员建议用户在安装各类扩展程序前务必对软件包进行全面检查，尤其是当发布方并非信誉良好的正规厂商时。

用户应仔细梳理软件包中包含的所有依赖组件，特别是像VS Code扩展程序这类将依赖组件内置打包、而非从npm等可信源获取的情况，更需提高警惕。

In October 2025, experts at Kaspersky Lab uncovered a new wave of targeted attacks attributed to the ForumTroll

The post The Plagiarism Trap: How ForumTroll APT is Holding Academic Careers Hostage to Deploy Spyware appeared first on Penetration Testing Tools.

Researchers at Gen have reported a new WhatsApp account-takeover technique dubbed GhostPairing. The attack appears mundane and arouses

The post The Invisible Roommate: How the GhostPairing Scam Steals Your WhatsApp Without a Password appeared first on Penetration Testing Tools.

Researchers at Check Point Research have uncovered a large-scale espionage operation conducted by the Chinese APT group Ink

The post The Living Mesh: Ink Dragon Turns European Government Servers into a Global ShadowPad Relay Network appeared first on Penetration Testing Tools.

Cymulate Research Labs has uncovered a local privilege escalation vulnerability in Microsoft Windows Admin Center (WAC) version 2.4.2.1,

The post SYSTEM via WAC: How a Permissions Oversight in Windows Admin Center Leads to Full Host Compromise appeared first on Penetration Testing Tools.

Japanese company Internet Initiative Japan (IIJ) has reported observing a new variant of the malware known as Type

The post The Silent Listener: New DRBControl Backdoor Variant Uses Network Sniffing to Evade Detection appeared first on Penetration Testing Tools.