EtherRAT su GitHub e Ethereum: il malware “immortale” che inganna Google e colpisce admin e DevOps

Una campagna malware ad alta resilienza sta sfruttando GitHub e la blockchain di Ethereum per distribuire EtherRAT, un Remote Access Trojan pensato per colpire profili ad alto privilegio come amministratori di sistema, ingegneri DevOps e analisti di sicurezza. Il punto di forza dell’operazione è la combinazione tra SEO poisoning, una catena di distribuzione a due stadi su GitHub e un comando e controllo decentralizzato che rende difficile bloccare l’infrastruttura.

La prima fase parte dai motori di ricerca. Attraverso tecniche di SEO poisoning, i criminali spingono in alto nei risultati ricerche legate a tool IT di nicchia. Le vittime cercano download di utility amministrative e finiscono su repository GitHub che sembrano legittimi. Questi primi repository sono facciate pulite, con README curati e nessun codice malevolo, progettati per mantenere fiducia e posizionamento nei motori di ricerca.

Nel README viene inserito un link verso un secondo repository GitHub, nascosto e più facilmente sostituibile, che ospita il payload reale. Questa architettura separa la vetrina indicizzata dal punto di distribuzione del malware, permettendo agli attaccanti di ruotare rapidamente i repository di consegna se segnalati, senza perdere il ranking ottenuto dalla facciata.

Il malware viene distribuito spesso come installer MSI camuffato da strumenti usati quasi esclusivamente da personale con privilegi elevati, come:

• PsExec
• AzCopy
• Sysmon
• LAPS
• Kusto Explorer

Questa scelta abilita un vero e proprio profiling automatico: se un utente installa quei tool, è probabile che abbia accessi amministrativi, e quindi una compromissione può aprire la strada a movimento laterale e compromissione enterprise.

La parte più innovativa riguarda il C2. Invece di contattare domini o IP hardcoded, EtherRAT interroga endpoint pubblici Ethereum RPC e legge da uno smart contract l’indirizzo del server C2 attivo. Aggiornando il valore on chain, gli attaccanti possono cambiare infrastruttura senza modificare il malware già installato. Finché i gateway pubblici Ethereum sono raggiungibili, il malware può risolvere il proprio C2, rendendo meno efficaci tecniche tradizionali di takedown e blocklisting.