Savunmasız React Sunucu Bileşenlerini hedef alan yeni, son derece karmaşık bir kötü amaçlı yazılım türü, devlet destekli tehdit aktörlerinin yalnızca birkaç gün önce açıklanan kritik React2Shell güvenlik açığından nasıl yararlandığına dair önemli bir gelişmenin sinyalini veriyor.
5 Aralık 2025’te, maksimum önem derecesine sahip CVE-2025-55182 (“React2Shell” adı verilen) güvenlik açığının açığa çıkmasından sadece iki gün sonra, Sysdig Tehdit Araştırma Ekibi (TRT), güvenliği ihlal edilmiş Next.js uygulamalarına dağıtılan EtherRAT adlı yeni ve gelişmiş bir implant keşfetti.
Basit kripto para madencilerinin kurulduğu daha önceki fırsatçı saldırılardan farklı olarak EtherRAT, Kuzey Kore (DPRK) devlet destekli aktörlere bağlanan kalıcı bir casusluk aracıdır ve esnek komuta ve kontrol (C2) altyapısı için Ethereum akıllı sözleşmelerinden yararlanır.
React2Shell’in Kullanımı (CVE-2025-55182)
Bu kampanyanın giriş noktası, React Server Bileşenlerinde (RSC’ler) tek bir HTTP isteği yoluyla kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren güvenli olmayan bir seri durumdan çıkarma kusuru olan CVE-2025-55182’dir.
Güvenlik açığı, Uygulama Yönlendiricisini kullanan React 19.x ve Next.js 15.x/16.x sürümlerini etkiliyor. 3 Aralık 2025’teki açıklamanın ardından Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismarın artmasıyla birlikte onu hızla Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
“Earth Lamia” gibi Çin bağlantılı grupların Kobalt Saldırısı işaretçilerini konuşlandırdığı gözlemlenirken, EtherRAT kampanyası ticari zanaatta belirgin bir değişime işaret ediyor. Bu aktörler, anında yok etme veya gürültülü madencilik yerine uzun vadeli gizlilik ve kalıcılığa odaklanıyor.
| Güvenlik Açığı | CVE-2025-55182 (React2Shell) |
|---|---|
| Tip | Güvenli Olmayan Seriden Çıkarma / Uzaktan Kod Yürütme |
| Şiddet | Kritik (Maksimum Önem Derecesi) |
| Etkilenen Yazılım | React 19.x, Next.js 15.x/16.x (Uygulama Yönlendiricisi) |
| Açıklama Tarihi | 3 Aralık 2025 |
| Aktif İstismarlar | Kobalt Saldırısı (Çin bağlantısı), EtherRAT (DPRK bağlantısı), XMRig |
EtherRAT Blockchain Gizliliği
EtherRAT, benzersiz bir “fikir birliği” C2 mekanizmasıyla kendisini diğerlerinden ayırıyor. Kötü amaçlı yazılım, engellenebilecek sabit kodlu bir sunucu IP’sine bağlanmak yerine, komut sunucusu URL’sini almak için belirli bir Ethereum akıllı sözleşmesini sorgular.
Kurcalamayı veya zehirlenmeyi önlemek için EtherRAT, Cloudflare, Flashbots ve PublicNode dahil olmak üzere dokuz farklı genel Uzaktan Prosedür Çağrısı (RPC) uç noktasını sorgular ve yalnızca çoğunluk tarafından döndürülen C2 URL’sini kabul eder.
Bu “EtherHiding” tekniği, geleneksel IP tabanlı engellemeyi etkisiz hale getirir. Savunmacılara göre trafik, iyi bilinen blockchain ağ geçitlerine yapılan meşru HTTPS istekleri olarak görünüyor.
Ayrıca kötü amaçlı yazılım, C2 yoklama trafiğini statik varlıklara yönelik istekler olarak gizler (ör. .png veya .css dosyalar), normal web uygulaması trafiğiyle sorunsuz bir şekilde uyum sağlar.
Tedarik zinciri tarayıcılarını atlamak için tasarlanan bir hamleyle EtherRAT, kendi çalışma zamanını bir araya getirmez. Bunun yerine, damlalık, Node.js çalışma zamanının yasal, imzalı bir kopyasını doğrudan resmi kaynaktan indirir. nodejs.org dağıtım.
Bu, kötü amaçlı yazılımın, antivirüs uyarılarını tetikleyebilecek şüpheli ikili dosyalara yer vermeden istikrarlı bir yürütme ortamına sahip olmasını sağlar.
Sysdig TRT tarafından yapılan analiz, EtherRAT ile Kuzey Kore’ye bağlı gruplara atfedilen uzun süredir devam eden bir operasyon olan “Bulaşıcı Röportaj” kampanyası (Lazarus/UNC5342) arasında önemli kod çakışmalarını ortaya koyuyor.
- Paylaşılan Şifreleme: Her iki kampanya da, yüklerini korumak için neredeyse aynı AES-256-CBC şifreli yükleyiciyi kullanıyor.
- Altyapı: Blockchain tabanlı C2’nin kullanımı, Kuzey Kore’de yakın zamanda benimsenen “EtherHiding” teknikleriyle uyumludur.
- Hedefleme: “Bulaşıcı Röportaj” geçmişte geliştiricileri sahte iş teklifleri yoluyla hedef alırken, sunucu tarafındaki güvenlik açıklarından yararlanmaya yönelik bu değişim, onların ilk erişim vektörlerinin agresif bir şekilde genişlemesini temsil ediyor.
Ancak EtherRAT, normal bir veya iki mekanizmaya kıyasla beş yedekli kalıcılık mekanizması (Systemd, XDG, Cron, Bashrc ve Profil enjeksiyonu) içeren tipik “Bulaşıcı Röportaj” yüklerinden daha karmaşıktır.
Azaltma ve Uzlaşma Göstergeleri
Next.js veya React Server Components’ı çalıştıran kuruluşların derhal 19.2.1 veya sonraki bir sürüme yama yapması gerekir. Savunmacılar aşağıdaki göstergeleri, özellikle de çoğu ortamda oldukça anormal olan web sunucularından halka açık Ethereum RPC düğümlerine giden trafiği araştırmalıdır.
| Gösterge Türü | Değer / Desen |
|---|---|
| Hazırlama Sunucusu | 193.24.123[.]68:3001 (Kötü Amaçlı Kabuk Komut Dosyası Kaynağı) |
| Akıllı Sözleşme | 0x22f96d61cf118efabc7c5bf3384734fad2f6ead4 |
| Ağ Trafiği | Birden fazla Ethereum RPC’ye hızlı POST istekleri (ör. eth.llamarpc[.]iletişim, rpc.flashbot’lar[.]açık) |
| Dosya Yapıları | Gizli dizinler $HOME/.local/share/ rastgele onaltılık adlarla (örneğin, .05bf0e9b) |
| İşlem | Node.js, aşağıdaki gibi gizli dizinlerden kaynaklanan işlemler .yerel/paylaş/ yerine /usr/bin/ |
Sıfır gün kullanımı ve değişmez blockchain altyapısının birleşimi, EtherRAT’ı zorlu bir tehdit haline getiriyor. Güvenlik ekiplerine, yalnızca statik dosya imzalarına güvenmek yerine, kalıcılık mekanizmalarının ve olağandışı RPC trafik modellerinin çalışma zamanında tespit edilmesine odaklanmaları tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
