Kabar yang cukup bikin senam jantung datang buat kalian yang aktif di ekosistem React Server Components (RSC). Sepertinya, celah keamanan kritis React2Shell yang baru saja terekspos langsung dimanfaatkan sebegitunya oleh aktor ancaman yang punya jejak digital mengarah ke Korea Utara. Nggak main-main, mereka memperkenalkan implant jarak jauh yang belum pernah terdokumentasi sebelumnya bernama EtherRAT. Ini jelas bukan serangan iseng biasa, tapi operasi terencana yang sangat rapi.
Berdasarkan laporan terbaru dari Sysdig yang kami pelajari, EtherRAT ini punya cara kerja yang lumayan bikin geleng-geleng kepala. Kayaknya para pelaku ini sadar betul kalau metode konvensional mulai mudah terendus, makanya mereka beralih memanfaatkan smart contract Ethereum untuk resolusi Command-and-Control (C2). Jadi, alih-alih pakai domain biasa yang gampang diblokir, mereka pakai infrastruktur blockchain. Selain itu, malware ini juga mengunduh runtime Node.js-nya sendiri langsung dari nodejs.org, seolah-olah aktivitas legal.
Serangan ini kuranglebihnya punya kemiripan pola dengan kampanye jangka panjang yang diberi kode nama “Contagious Interview”. Bagi yang belum tahu, ini adalah skema jahat di mana developer Web3 atau blockchain dipancing lewat wawancara kerja palsu di LinkedIn atau Upwork, lalu disuruh mengerjakan tes koding yang ternyata berisi malware. Nah, beginilah kira-kiranya alur teknis bagaimana EtherRAT menyusup ke sistem kalian:
- Eksploitasi Celah Fatal (CVE-2025-55182)
Serangan dimulai dengan memanfaatkan kerentanan RSC yang punya skor CVSS 10.0 (maksimal). Nggak butuh waktu lama, celah ini dipakai untuk mengeksekusi perintah shell yang di-encode Base64. Tujuannya sederhana tapi mematikan: mengunduh skrip shell awal. - Penyiapan Lingkungan Eksekusi
Skrip shell tadi ditarik menggunakan perintah curl (dengan wget atau python3 sebagai cadangan). Skrip ini didesain cukup pintar untuk menyiapkan “rumah” bagi malware dengan mengunduh Node.js v20.10.0 resmi. Setelah itu, ia menulis blob terenkripsi dan dropper JavaScript yang sudah diobfuskasi ke disk. Begitu selesai, skrip shell awal akan menghapus dirinya sendiri untuk menghilangkan jejak forensik. - Peluncuran Payload & Teknik EtherHiding
Tugas utama dropper adalah mendekripsi payload EtherRAT menggunakan kunci yang sudah di-hardcode. Uniknya, malware ini menggunakan teknik EtherHiding. Rasanya cerdik sekali, malware ini akan mengecek smart contract Ethereum setiap lima menit untuk mendapatkan URL server C2 terbaru. Jadi, kalau satu URL diblokir, operator tinggal update di blockchain, dan malware akan otomatis tahu. - Mekanisme Konsensus RPC
Ini bagian yang paling teknis. Sysdig mencatat implementasi unik berupa voting konsensus di sembilan endpoint RPC Ethereum publik. EtherRAT akan menanyakan kesembilan endpoint tersebut secara paralel dan memilih URL yang dikembalikan oleh mayoritas. Ini mencegah peneliti keamanan melakukan poisoning atau mengarahkan bot ke sinkhole hanya dengan menguasai satu endpoint. - Persistensi yang Berlapis (Ngotot Banget!)
Supaya akses nggak hilang saat komputer di-restart, mereka memasang lima mekanisme persistensi sekaligus: Systemd user service, entri autostart XDG, Cron jobs, injeksi .bashrc, dan injeksi profil. Segitunya niat mereka memastikan cengkeraman tetap kuat di sistem korban.
Pergeseran taktik ini juga terlihat pada varian baru kampanye Contagious Interview. Jika sebelumnya banyak bermain di ekosistem npm, sekarang sepertinya mereka mulai melirik Visual Studio Code (VS Code). Laporan dari OpenSourceMalware menunjukkan taktik baru di mana korban diminta meng-clone repositori berbahaya dari GitHub atau GitLab.
Begitu proyek tersebut dibuka di VS Code, file tasks.json yang sudah dimodifikasi dengan konfigurasi runOptions.runOn: ‘folderOpen’ akan otomatis berjalan. Ini memicu eksekusi perintah tanpa interaksi tambahan dari korban. Di Linux, ini berlanjut ke pengunduhan skrip vscode-bootstrap.sh yang kemudian menjadi landasan peluncuran untuk malware pencuri informasi seperti BeaverTail dan InvisibleFerret. Kami melihat adanya perpindahan infrastruktur hosting mereka ke Vercel secara eksklusif, meninggalkan layanan lain seperti Fly.io atau Render.
Melihat pola serangan yang berevolusi dari sekadar penambangan kripto oportunistik menjadi akses persisten jangka panjang, rasanya kita perlu lebih paranoid. Serangan ini menunjukkan bahwa React2Shell bukan sekadar celah kecil, tapi pintu gerbang bagi operasi spionase siber yang canggih. Pelaku ancaman ini, entah murni dari Korea Utara atau aktor lain yang meminjam tekniknya, jelas menargetkan rantai pasok perangkat lunak dengan presisi tinggi.
Sebagai penutup, rekan-rekanita sekalian perlu ekstra waspada, terutama jika bekerja di sektor pengembangan Web3 atau sering menerima tawaran kerja remote. Jangan asal buka repositori asing di VS Code tanpa memeriksa file konfigurasinya terlebih dahulu, terutama folder .vscode. Pastikan juga infrastruktur RSC kalian sudah ditambal dari celah CVE-2025-55182. Keamanan itu proses yang terus berjalan, jadi jangan lengah sedikitpun. Terima kasih sudah menyimak update keamanan minggu ini!
Sumber: thehackernews