Campanhas de Exploração React2Shell Ligadas a Táticas Cibernéticas da Coreia do Norte – Against Invaders

Campanhas de Exploração React2Shell Ligadas a Táticas Cibernéticas da Coreia do Norte - Against Invaders

Pesquisadores de segurança do Sysdig observaram novas campanhas explorando o React2Shell, que parecem ter as características de hackers norte-coreanos.

React2Shell é uma vulnerabilidade de execução remota de código em Componentes de Servidor React (RSCs). Rastreada como CVE-2025-55182, a falha possui uma classificação máxima de gravidade com pontuação CVSS de 10,0.

Divulgado publicamente em 3 de dezembro, a vulnerabilidade impacta a versão 19 da biblioteca open source React para criação de interfaces de usuário, bem como muitos outros frameworks relacionados, incluindo Next.js, Waku, React Router e RedwoodSDK.

Logo após ser tornado público, a Amazon Web Services (AWS) confirmou que grupos de ameaça como Earth Lamia e Jackpot Panda, ambos ligados a interesses do Estado chinês, estavam entre aqueles que lançaram tentativas de exploração.

Outros agentes ameaçadores também foram observados explorando o React2Shell, incluindo atores oportunistas instalando mineradores de criptomoedas (principalmente XMRig) e coletores de credenciais mirando arquivos de configuração AWS e variáveis do ambiente.

Agora, a Equipe de Pesquisa de Ameaças do Sysdig (TRT) disse que descobriu um implante inovador a partir de um aplicativo de Next.js comprometido que entrega EtherRAT.

Os TRTs do Sysdig análise, publicado em 8 de dezembro, revela sobreposição significativa com ferramentas do grupo de campanhas ligadas à Coreia do Norte chamado ‘Contagious Interview’. Isso sugere que ou atores norte-coreanos migraram para explorar o React2Shell ou que um compartilhamento sofisticado de ferramentas está ocorrendo entre grupos de Estados-nação.

Cadeia de Ataque React2Shell-EtherRAT Explicada

EtherRAT é um trojan de acesso remoto (RAT) que utiliza contratos inteligentes Ethereum para resolução por comando e controle (C2), implanta cinco mecanismos independentes de persistência Linux e baixa seu próprio tempo de execução Node.js a partir de nodejs.org.

“Em vez de codificar fixamente um endereço de servidor C2, que pode ser bloqueado ou apreendido, o malware consulta um contrato on-chain para recuperar a URL atual do C2”, explicou o relatório do Sysdig.

A cadeia de ataque da campanha maliciosa que utiliza o exploit React2Shell segue quatro etapas, cada uma projetada para estabelecer controle persistente e evasivo sobre o sistema comprometido:

  1. Acesso Inicial: Um comando shell codificado em base64 é executado via React2Shell, implantando um downloader persistente que busca um script malicioso (s.sh) usando backups curl/wget/python3 e um loop de tentativas de 300 segundos
  2. Implantação: O script (s.sh) instalado Node.js a partir de nodejs.org (para evitar detecção), cria diretórios ocultos, libera uma carga útil criptografada e um dropper JavaScript ofuscado, depois se autoexclue
  3. Conta-gotas: O dropper JavaScript (.kxnzl4mtez.js) descriptografa a carga principal usando AES-256-CBC com chaves codificadas fixamente, grava o implante descriptografado no disco e o executa via o runtime de Node.js baixado
  4. Implantar: A carga útil final estabelece uma backdoor persistente com C2 baseado em blockchain, cinco mecanismos de redundância para persistência e atualizações automáticas da carga útil, garantindo acesso a longo prazo

Sinais de Sofisticação ou Cooperação dos Grupos-Estados-Nação

Essas campanhas apresentam semelhanças com múltiplas campanhas documentadas, incluindo campanhas ligadas à Coreia do Norte.

Por exemplo, o padrão de loader criptografado usado nessas campanhas EtherRAT corresponde muito ao malware BeaverTail, afiliado à Coreia do Norte, usado nas campanhas de Entrevistas Contagiosas.

O Sysdig observou que o Google Threat Intelligence Group (GTIG) recentemente atribuiu o uso do malware BeaverTail e das técnicas C2 baseadas em blockchain ao ator ameaçador associado à Coreia do Norte UNC5342.

“No entanto, sem sobreposição direta de código, não podemos confirmar que o ator de ameaça por trás do EtherRAT é o mesmo. Dadas algumas das diferenças significativas listadas acima, isso pode representar técnicas compartilhadas entre múltiplos grupos de ameaça afiliados à República Popular Democrática da Coreia (RPDC), escreveram os pesquisadores do Sysdig.

“Alternativamente, embora os atores da RPDC possam ter adotado o React2Shell como um novo vetor de acesso inicial, é possível que outro ator sofisticado esteja combinando técnicas de múltiplas campanhas documentadas para complicar a atribuição”, acrescentaram.

Se a atribuição for confirmada, essas novas campanhas representam uma evolução significativa na técnica técnica, onde atores norte-coreanos trocam um tamanho menor de carga útil por menor risco de detecção.

“Embora o Grupo Lazarus e outros atores ameaçadores ligados à Coreia do Norte historicamente Node.js agrupem com suas cargas úteis, tA amostra que identificamos Node.js downloads da distribuição oficial nodejs.org”, explicaram os pesquisadores.

Segundo pesquisadores do Sysdig, o EtherRAT representa uma “evolução significativa na exploração do React2Shell”, afastando-se da típica mineração oportunista de criptomoedas e roubo de credenciais para “acesso persistente e furtivo projetado para operações de longo prazo.”

A equipe destacou que a “combinação de C2 baseado em blockchain, persistência agressiva multivetoral e um mecanismo de atualização de payload” do malware reflete um nível de sofisticação “não observado anteriormente em cargas úteis do React2Shell.” Isso sugere um modelo de ameaça mais calculado e resiliente, observaram.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.