北韓相關行為者利用 React2Shell 部署新型 EtherRAT 勒索軟體

近期安全社群發現，北韓相關網路攻擊組織已經將 React2Shell 作為主要攻擊向量，將以以太坊區塊鏈為植入載體的 EtherRAT 勒索軟體部署至目標企業。此行為突顯了跨域攻擊技術與區塊鏈結合的新風險，並強調企業需加強 Web 應用與雲端平台的保護。

React2Shell 攻擊流程概述

React2Shell 主要利用 React 前端框架中的安全缺陷，透過以下步驟完成攻擊：

利用 react-scripts 內的 eval() 呼叫注入惡意 JavaScript。
腳本在目標伺服器上建立 Web Shell，並開放可被遠端控制的後門。
後門進入內部網路後，發佈 EtherRAT，該惡意程式利用 Solidity 智能合約在以太坊區塊鏈上進行隱匿與指令控制。

整個流程僅需數分鐘即可完成，且 Web Shell 透過 HTTPS 隱藏於合法流量之中，難以被傳統 IDS 探測。

EtherRAT 主要功能與區塊鏈植入機制

EtherRAT 以「以太坊智能合約」為指令通道，利用 ERC‑20 代幣交易來傳遞控制訊息。其主要特性如下：

隱匿性：指令與資料均以加密交易形式存於區塊鏈，僅受合約擁有者解碼。
擴散性：利用區塊鏈的分佈式特性，指令可跨多個節點同步，降低單點失效風險。
自動化勒索：感染機器後自動搜尋可加密檔案並上傳至雲端備份，再以加密金鑰鎖定本機資料。

其設計靈感與前代的 Cryptolocker 相似，但區塊鏈的不可變性大幅提升了指令的抗刪除能力。此新型勒索軟體已在多個中小型企業中確認出現，且攻擊目標多為未加固的 React 應用。

MITRE ATT&CK 對應

T1190 – Exploit Public-Facing Application
T1505.003 – Web Shell
T1055 – Process Injection
T1078 – Valid Accounts (後門使用受害者帳號)
T1027 – Obfuscated Files or Information (加密交易)
T1041 – Exfiltration Over Command and Control Channel (區塊鏈交易)

防禦建議

為降低 React2Shell 與 EtherRAT 的風險，企業應採取以下措施：

Web 應用安全測試：定期使用 OWASP ZAP、Burp Suite 進行滲透測試，確保 React 應用不包含可被執行的 eval() 或不受信任的腳本。
內容安全策略 (CSP)：在前端部署 CSP 標頭，限制 script-src 只允許來自信任來源的腳本。
容器化與網路隔離：將 Web 應用與內部網路分離，限制後門能進一步橫向移動。
區塊鏈監控：使用區塊鏈監測服務（如 Etherscan API）追蹤可疑交易，結合 SIEM 進行即時告警。
行為異常偵測：部署 Endpoint Detection & Response (EDR) 監控磁碟與網路異常，尤其是未知的加密交易。
更新 react-scripts 至最新版，避免已知的 eval() 漏洞。

結論

北韓相關攻擊者透過 React2Shell 與以太坊區塊鏈的結合，創造出具有高度隱匿與抗修補性的勒索軟體 EtherRAT。這一新興威脅不僅提升了攻擊者的存活率，也使傳統安全防禦面臨挑戰。企業必須從前端開發到雲端基礎設施，全面加強安全防護，並透過區塊鏈監測與行為分析，提升對此類攻擊的偵測與回應能力。