WebRAT Sebar Malware Lewat Eksploit Palsu di GitHub, Targetkan Peneliti dan Pengembang

WebRAT, malware backdoor dengan kemampuan pencurian informasi, kini menyebar melalui repositori GitHub yang mengklaim menyediakan proof‑of‑concept (PoC) untuk kerentanan terbaru. Teknik ini menandai perubahan signifikan dari metode sebelumnya, di mana WebRAT lebih sering ditemukan dalam perangkat lunak bajakan dan cheat game seperti Roblox, Counter‑Strike, dan Rust.

WebRAT pertama kali muncul awal tahun ini dan dikenal mampu mencuri kredensial Steam, Discord, Telegram, data dompet kripto, hingga memata‑matai korban melalui webcam dan tangkapan layar. Menurut laporan Solar 4RAYS, malware ini memiliki kemampuan lengkap sebagai info‑stealer sekaligus remote access trojan.

Sejak September, operator WebRAT mulai memanfaatkan repositori GitHub yang dirancang menyerupai proyek PoC untuk kerentanan yang ramai diberitakan. Beberapa CVE yang dijadikan umpan antara lain:

• CVE‑2025‑59295 – Heap‑based buffer overflow pada komponen MSHTML/Internet Explorer di Windows yang memungkinkan eksekusi kode jarak jauh.
• CVE‑2025‑10294 – Authentication bypass kritis pada plugin OwnID Passwordless Login untuk WordPress, memungkinkan penyerang masuk sebagai pengguna mana pun tanpa kredensial.
• CVE‑2025‑59230 – Kerentanan elevation‑of‑privilege pada layanan RasMan Windows yang memungkinkan eskalasi hak akses ke level SYSTEM.

Peneliti Kaspersky menemukan 15 repositori yang menyebarkan WebRAT dengan pola penulisan deskripsi yang sangat mirip, diduga dihasilkan oleh model AI. Repositori tersebut memuat penjelasan kerentanan, cara kerja eksploit, hingga mitigasi—semuanya untuk meningkatkan kredibilitas dan menipu pengguna.

Paket berbahaya tersebut disebarkan dalam bentuk arsip ZIP berpassword, berisi:

• File kosong yang namanya merupakan password ZIP
• DLL rusak sebagai umpan
• Batch file untuk eksekusi
• Dropper utama bernama rasmanesc.exe

Dropper ini akan meningkatkan hak akses, menonaktifkan Windows Defender, lalu mengunduh dan menjalankan WebRAT dari URL yang telah ditanamkan. Varian WebRAT yang digunakan tidak berbeda dari sampel sebelumnya, termasuk teknik persistensi melalui Registry, Task Scheduler, dan injeksi ke direktori sistem acak.

Penggunaan eksploit palsu di GitHub bukanlah taktik baru. Pelaku ancaman sebelumnya juga menyebarkan malware melalui repositori palsu seperti “LDAPNightmare”. Meski repositori WebRAT yang ditemukan Kaspersky telah dihapus, ancaman tetap ada karena pelaku dapat membuat repositori baru dengan identitas berbeda.

Pengembang dan peneliti keamanan diimbau untuk berhati‑hati saat mengunduh PoC dari sumber yang tidak terverifikasi. Aturan utamanya: uji eksploit hanya di lingkungan terisolasi dan terkendali untuk mencegah infeksi sistem utama.