Saldırının Genel Çerçevesi
Şubat 2025’ten itibaren, React Server Components (RSC) bileşenlerindeki kritik bir güvenlik açığı (CVE-2025-55182, CVSS 10.0) kullanılarak yeni bir uzaktan erişim truva atı (RAT) olan EtherRAT dağıtılıyor. Bu zararlı, Ethereum akıllı sözleşmeleri üzerinden komut ve kontrol (C2) iletişimi kuruyor ve özellikle blockchain, Web3 geliştiricileri ile yazılım tedarik zinciri ekosistemini hedef alıyor.
Contagious Interview adlı kampanya, LinkedIn, Upwork ve Fiverr gibi platformlarda sahte iş görüşmeleri ve kodlama görevleri sunarak kurbanları tuzağa düşürüyor. Bu yöntemle, hedeflenen kullanıcılar kötü amaçlı yazılım indirmeye yönlendiriliyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı, RSC’deki React2Shell açığının istismarıyla başlıyor. Base64 kodlu bir kabuk komutu, ana JavaScript implantını dağıtan kabuk betiğini indirip çalıştırıyor. Bu betik, curl, wget ve python3 gibi araçlarla Node.js v20.10.0 sürümünü nodejs.org’dan indiriyor ve ortamı hazırlıyor.
EtherRAT, şifrelenmiş bir yükleyici ve karmaşıklaştırılmış JavaScript dropper kullanıyor. Dropper, sabit kodlanmış anahtar ile yükü şifre çözerek Node.js ikili dosyasıyla başlatıyor. C2 sunucu URL’si, Ethereum akıllı sözleşmelerinden EtherHiding tekniğiyle her 5 dakikada bir çekiliyor. Bu yöntem, operatörlerin URL’yi kolayca değiştirmesine ve tespit edilmesini zorlaştırmasına olanak tanıyor.
EtherRAT, dokuz farklı Ethereum RPC uç noktasını paralel sorgulayarak çoğunluk oyuyla C2 adresini belirliyor. Bu oy birliği mekanizması, tek bir ele geçirilmiş RPC düğümünün saldırı zincirini bozmasını engelliyor. Zararlı, 500 milisaniyede bir anket döngüsüne girerek aldığı komutları JavaScript olarak çalıştırıyor.
Kalıcılık için beş farklı yöntem kullanılıyor: systemd kullanıcı servisi, XDG autostart girdisi, cron işleri, .bashrc ve profil dosyası enjeksiyonları. Ayrıca, zararlı kendi kaynak kodunu C2’ye gönderip yeni kod alarak kendini güncelleyebiliyor. Bu güncellemeler, statik imza tabanlı tespiti aşmak için farklı karmaşıklaştırma teknikleri içeriyor.
Contagious Interview Kampanyasının Yeni Varyantı
OpenSourceMalware tarafından tespit edilen yeni varyant, kurbanları GitHub, GitLab veya Bitbucket üzerinden kötü amaçlı depoları klonlamaya ve Microsoft Visual Studio Code (VS Code) ile projeyi açmaya yönlendiriyor. Proje açılır açılmaz, tasks.json dosyasındaki otomatik çalıştırma özelliği sayesinde yükleyici betik indirilip çalıştırılıyor.
Linux sistemlerde, “vscode-bootstrap.sh” adlı kabuk betiği BeaverTail ve InvisibleFerret gibi zararlılar için başlangıç noktası olan dosyaları indiriyor. Bu kampanya, 27 farklı GitHub kullanıcısı arasında yayılan 13 sürüm ve BeaverTail’in 11 farklı sürümünü içeriyor. En eski depo 22 Nisan 2025, en yeni ise 1 Aralık 2025 tarihli.
Siber Güvenlik Ekipleri İçin Öneriler
- React Server Components ve Node.js bileşenleri için güncel yamaları zamanında uygulayın.
- Ethereum tabanlı C2 iletişimlerini tespit etmek için blockchain analiz araçları ve SIEM sistemlerini entegre edin.
- EDR çözümleri ile sistemdeki anormal Node.js süreçlerini ve şifrelenmiş yükleyicileri izleyin.
- Phishing ve sosyal mühendislik saldırılarına karşı e-posta güvenliği politikalarını güçlendirin.
- Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu ile erişim kontrollerini sıkılaştırın.
- Olay müdahale (incident response) planlarını, yeni zararlıların karmaşık güncelleme mekanizmalarını göz önünde bulundurarak güncelleyin.
- Loglarda cron, systemd ve XDG autostart gibi kalıcılık mekanizmalarına dair anormal aktiviteleri takip edin.
- Yazılım tedarik zinciri güvenliği için npm paketlerini ve açık kaynak bileşenlerini düzenli olarak denetleyin.
Teknik Özet
- Kullanılan zararlılar: EtherRAT, BeaverTail, InvisibleFerret
- Hedef sektörler: Blockchain ve Web3 geliştiricileri, yazılım tedarik zinciri
- Kullanılan zafiyet: CVE-2025-55182 (React2Shell, CVSS 10.0) NVD Detayı
- Saldırı zinciri: RSC açığı istismarı → Node.js ortam kurulumu → şifrelenmiş yükleyici → Ethereum tabanlı C2 iletişimi → kalıcılık mekanizmaları
- Önerilen savunma: Güncel yamalar, MFA, EDR, SIEM, ağ segmentasyonu, yazılım tedarik zinciri denetimi