GitHub’da Sahte Güvenlik Açığı Kodlarıyla WebRAT Dağıtılıyor: Uzmanlardan Kritik Uyarı
WebRAT adlı zararlı yazılımın, GitHub üzerinde yayınlanan sahte güvenlik açığı istismar kodları aracılığıyla yayıldığı belirlendi. Güvenlik araştırmacıları, güncel CVE’leri hedef alan bu depoların geliştiriciler ve siber güvenlik meraklıları için ciddi risk oluşturduğunu açıkladı.
WebRAT zararlı yazılımının dağıtım yöntemlerinde önemli bir değişikliğe gidildiği ortaya çıktı. Daha önce korsan yazılımlar ve popüler oyunlara ait hile paketleri üzerinden yayılan WebRAT’in, artık GitHub depoları üzerinden sahte güvenlik açığı istismar kodları ile kullanıcılara ulaştırıldığı bildirildi.
Solar 4RAYS tarafından yayımlanan rapora göre WebRAT, yılın başından bu yana aktif olan ve arka kapı ile bilgi hırsızlığı yetenekleri bulunan bir zararlı yazılım olarak tanımlanıyor. WebRAT’in; Steam, Discord ve Telegram hesap bilgilerini, kripto para cüzdanlarını ele geçirebildiği, ayrıca web kamerası üzerinden izleme ve ekran görüntüsü alma kabiliyetine sahip olduğu kaydedildi.
Popüler CVE’ler Yem Olarak Kullanılıyor
Kaspersky araştırmacıları, Eylül ayından bu yana WebRAT dağıtan en az 15 GitHub deposu tespit ettiklerini açıkladı. Bu depolarda, kamuoyunda geniş yer bulan bazı kritik güvenlik açıklarına ait sözde “proof-of-concept” kodlarının paylaşıldığı belirtildi.
Sahte istismar iddiaları arasında; Windows MSHTML bileşeninde uzaktan kod çalıştırmaya yol açan CVE-2025-59295, WordPress OwnID eklentisinde kimlik doğrulama atlatma açığı olan CVE-2025-10294 ve Windows RasMan servisinde yetki yükseltmeye imkân tanıyan CVE-2025-59230 yer aldı.
“Metinler Yapay Zekâ ile Üretilmiş Olabilir”
Kaspersky, bu depolarda yer alan açıklamaların son derece düzenli ve ikna edici olduğunu, metinlerin yapay zekâ ile oluşturulmuş olabileceğini değerlendirdi. Depolarda, güvenlik açığının tanımı, sözde istismar yöntemi ve alınabilecek önlemler hakkında ayrıntılı bilgiler bulunduğu aktarıldı.
Zararlı Paket Yapısı Ortaya Çıktı
Araştırmacılar, sahte istismarların genellikle şifre korumalı ZIP dosyaları içinde dağıtıldığını belirtti. Bu arşivlerde; parola adıyla oluşturulmuş boş bir dosya, bozuk bir DLL dosyası, çalıştırma zincirinde kullanılan bir batch dosyası ve ana yükleyici olan rasmanesc.exe bulunduğu ifade edildi.
Analize göre yükleyici dosya, yetki yükseltme işlemi gerçekleştiriyor, Windows Defender’ı devre dışı bırakıyor ve ardından WebRAT’i sabit bir URL üzerinden indirerek çalıştırıyor. Kaspersky, bu kampanyada kullanılan WebRAT sürümünün daha önce belgelenmiş örneklerle aynı yeteneklere sahip olduğunu bildirdi.
GitHub Depoları Kaldırıldı, Risk Sürüyor
Kaspersky tarafından tespit edilen tüm zararlı GitHub depolarının kaldırıldığı açıklanırken, saldırganların farklı geliştirici adlarıyla yeni depolar açabileceği uyarısı yapıldı. Uzmanlar, özellikle geliştiricilerin ve siber güvenlik araştırmacılarının, güvenilmeyen kaynaklardan alınan kodları izole ve kontrollü ortamlarda test etmeleri gerektiğini vurguladı.
Ajans Expres Gazetesi
Tepkiniz Nedir?
