Skip to content
Tutorial emka
Menu
  • Home
  • Debian Linux
  • Ubuntu Linux
  • Red Hat Linux
Menu
EtherRAT

React2Shell Jadi Mainan Baru Hacker Korut? Waspada Jebakan EtherRAT via Blockchain!

Posted on December 10, 2025

Kabar yang cukup bikin senam jantung datang buat kalian yang aktif di ekosistem React Server Components (RSC). Sepertinya, celah keamanan kritis React2Shell yang baru saja terekspos langsung dimanfaatkan sebegitunya oleh aktor ancaman yang punya jejak digital mengarah ke Korea Utara. Nggak main-main, mereka memperkenalkan implant jarak jauh yang belum pernah terdokumentasi sebelumnya bernama EtherRAT. Ini jelas bukan serangan iseng biasa, tapi operasi terencana yang sangat rapi.

Berdasarkan laporan terbaru dari Sysdig yang kami pelajari, EtherRAT ini punya cara kerja yang lumayan bikin geleng-geleng kepala. Kayaknya para pelaku ini sadar betul kalau metode konvensional mulai mudah terendus, makanya mereka beralih memanfaatkan smart contract Ethereum untuk resolusi Command-and-Control (C2). Jadi, alih-alih pakai domain biasa yang gampang diblokir, mereka pakai infrastruktur blockchain. Selain itu, malware ini juga mengunduh runtime Node.js-nya sendiri langsung dari nodejs.org, seolah-olah aktivitas legal.

Serangan ini kuranglebihnya punya kemiripan pola dengan kampanye jangka panjang yang diberi kode nama “Contagious Interview”. Bagi yang belum tahu, ini adalah skema jahat di mana developer Web3 atau blockchain dipancing lewat wawancara kerja palsu di LinkedIn atau Upwork, lalu disuruh mengerjakan tes koding yang ternyata berisi malware. Nah, beginilah kira-kiranya alur teknis bagaimana EtherRAT menyusup ke sistem kalian:

  1. Eksploitasi Celah Fatal (CVE-2025-55182)
    Serangan dimulai dengan memanfaatkan kerentanan RSC yang punya skor CVSS 10.0 (maksimal). Nggak butuh waktu lama, celah ini dipakai untuk mengeksekusi perintah shell yang di-encode Base64. Tujuannya sederhana tapi mematikan: mengunduh skrip shell awal.
  2. Penyiapan Lingkungan Eksekusi
    Skrip shell tadi ditarik menggunakan perintah curl (dengan wget atau python3 sebagai cadangan). Skrip ini didesain cukup pintar untuk menyiapkan “rumah” bagi malware dengan mengunduh Node.js v20.10.0 resmi. Setelah itu, ia menulis blob terenkripsi dan dropper JavaScript yang sudah diobfuskasi ke disk. Begitu selesai, skrip shell awal akan menghapus dirinya sendiri untuk menghilangkan jejak forensik.
  3. Peluncuran Payload & Teknik EtherHiding
    Tugas utama dropper adalah mendekripsi payload EtherRAT menggunakan kunci yang sudah di-hardcode. Uniknya, malware ini menggunakan teknik EtherHiding. Rasanya cerdik sekali, malware ini akan mengecek smart contract Ethereum setiap lima menit untuk mendapatkan URL server C2 terbaru. Jadi, kalau satu URL diblokir, operator tinggal update di blockchain, dan malware akan otomatis tahu.
  4. Mekanisme Konsensus RPC
    Ini bagian yang paling teknis. Sysdig mencatat implementasi unik berupa voting konsensus di sembilan endpoint RPC Ethereum publik. EtherRAT akan menanyakan kesembilan endpoint tersebut secara paralel dan memilih URL yang dikembalikan oleh mayoritas. Ini mencegah peneliti keamanan melakukan poisoning atau mengarahkan bot ke sinkhole hanya dengan menguasai satu endpoint.
  5. Persistensi yang Berlapis (Ngotot Banget!)
    Supaya akses nggak hilang saat komputer di-restart, mereka memasang lima mekanisme persistensi sekaligus: Systemd user service, entri autostart XDG, Cron jobs, injeksi .bashrc, dan injeksi profil. Segitunya niat mereka memastikan cengkeraman tetap kuat di sistem korban.

Pergeseran taktik ini juga terlihat pada varian baru kampanye Contagious Interview. Jika sebelumnya banyak bermain di ekosistem npm, sekarang sepertinya mereka mulai melirik Visual Studio Code (VS Code). Laporan dari OpenSourceMalware menunjukkan taktik baru di mana korban diminta meng-clone repositori berbahaya dari GitHub atau GitLab.

Begitu proyek tersebut dibuka di VS Code, file tasks.json yang sudah dimodifikasi dengan konfigurasi runOptions.runOn: ‘folderOpen’ akan otomatis berjalan. Ini memicu eksekusi perintah tanpa interaksi tambahan dari korban. Di Linux, ini berlanjut ke pengunduhan skrip vscode-bootstrap.sh yang kemudian menjadi landasan peluncuran untuk malware pencuri informasi seperti BeaverTail dan InvisibleFerret. Kami melihat adanya perpindahan infrastruktur hosting mereka ke Vercel secara eksklusif, meninggalkan layanan lain seperti Fly.io atau Render.

Melihat pola serangan yang berevolusi dari sekadar penambangan kripto oportunistik menjadi akses persisten jangka panjang, rasanya kita perlu lebih paranoid. Serangan ini menunjukkan bahwa React2Shell bukan sekadar celah kecil, tapi pintu gerbang bagi operasi spionase siber yang canggih. Pelaku ancaman ini, entah murni dari Korea Utara atau aktor lain yang meminjam tekniknya, jelas menargetkan rantai pasok perangkat lunak dengan presisi tinggi.

Sebagai penutup, rekan-rekanita sekalian perlu ekstra waspada, terutama jika bekerja di sektor pengembangan Web3 atau sering menerima tawaran kerja remote. Jangan asal buka repositori asing di VS Code tanpa memeriksa file konfigurasinya terlebih dahulu, terutama folder .vscode. Pastikan juga infrastruktur RSC kalian sudah ditambal dari celah CVE-2025-55182. Keamanan itu proses yang terus berjalan, jadi jangan lengah sedikitpun. Terima kasih sudah menyimak update keamanan minggu ini!

Sumber: thehackernews

Recent Posts

  • Deploy Nginx Rootful Container with Podman
  • How to Sandboxing Browser on Linux Desktop with Flatpak
  • How to Hardening Journald on Linux Server (Fedora/AlmaLinux)
  • Block Bad USB on Linux Server with USBGuard
  • How to Secure NetworkManager on Fedora/AlmaLinux
  • How to Secure DNS and NTP in Fedora Linux
  • How to Hardening DNF on Fedora/Almalinux
  • How to Masking & Secure Daemon in Linux Server
  • How to Hardening Mount Option in Linux Server
  • How to Secure Linux Server with AIDE
  • Auditd Custom Rules & Tips
  • Securing SSH Server with fail2ban
  • Fedora Linux Firewalld Drop Zone and Rich Rules
  • How to SSH Hardening 2026
  • How to Add Password Protection to GRUB
  • Linux Kernel Hardening: Command-line Lockdown
  • Make Linux Kernel More Safe and Hardening with Sysctl Easy Way
  • How to Lockdown Root & Wheel Group in Linux
  • How to Secure Sudo in Linux (Secure Sudo Logging & Timeout)
  • Make Fedora Login Safe with Authselect and Faillock
  • How Measure Linux Security Use OpenSCAP Lynis and Systemd
  • SELinux Make Nginx Break and How to Fix It Easy
  • How See Hidden SELinux Errors When Your Server Is Broken
  • How Fix SELinux Port Denied Error With Sealert Easy Guide
  • Read SELinux AVC Denial Log Simple Guide for Noob
  • Inilah Cara Mengatasi OneDrive yang Suka Mengubah atau Menghapus Metadata File Kalian
  • Inilah Cara Menonaktifkan Antivirus Pihak Ketiga di Windows 11 dengan Aman
  • Inilah Cara Mengatur Raspberry Pi 5 dengan Ubuntu Server untuk Python dan Desktop GUI Tanpa Ribet
  • Inilah Alasan Kenapa Galaxy Z Fold 8 Ultra Bisa Jadi Produk yang Mengecewakan
  • Inilah Alasan Intel Merilis Raptor Lake Next di Socket LGA 1700, Masih Setia dengan DDR4!
  • How to Automate Your Entire SEO Strategy Using a Swarm of 100 Free AI Agents Working in Parallel
  • How to create professional presentations easily using NotebookLM’s AI power for school projects and beyond
  • How to Master SEO Automation with Google Gemini 3.1 Flash-Lite in Google AI Studio
  • How to create viral AI video ads and complete brand assets using the Claude and Higgsfield MCP integration
  • How to Transform Your Mac Into a Supercharged AI Assistant with Perplexity Personal Computer
RSS Error: WP HTTP Error: A valid URL was not provided.
©2026 Tutorial emka | Design: Newspaperly WordPress Theme