Логотип

Вредоносная программа ChocoPoc распространяется через троянские эксплойты на GitHub

Вредоносная программа ChocoPoc распространяется через троянские эксплойты на GitHub

В результате использования нескольких эксплойтов для проверки концепции (PoC) на GitHub был создан троян удаленного доступа (RAT) на основе Python под названием ChocoPoC, который может выполнять команды и похищать конфиденциальные данные.

Скрытие вредоносного ПО в PoC-эксплойтах для различных уязвимостей не является чем-то новым, поскольку известны случаи, когда злоумышленники выдавали себя за настоящих исследователей в области безопасности и использовали актуальные уязвимости, чтобы атаковать тестировщиков на уязвимости и проникновение или хакеров с низким уровнем квалификации.

Однако ChocoPoC примечателен тем, что вредоносное ПО не встраивается непосредственно в файл эксплойта, а добавляется в список зависимостей PoC.

По данным исследователей из компании Sekoia, специализирующейся на кибербезопасности, пакеты размещены на Python Package Index (PyPI) — платформе, которую разработчики Python используют для поиска и обмена кодом.

После того как жертва клонирует вредоносный репозиторий, троянизированный пакет под названием frint автоматически загружается и устанавливается в ее системе.

Пример вредоносного репозитория
Источник: Sekoia

 

Во время установки пакет подключает вредоносный пакет зависимостей skytext, который содержит скомпилированное нативное расширение Python.

При выполнении PoC расширение запускается автоматически и расшифровывает дополнительный встроенный код Python, который запускает загрузчик для получения финальной полезной нагрузки ChocoPoC из набора данных Mapbox.

RAT ChocoPoC обладает следующими возможностями:

  • выполнять произвольные команды оболочки и произвольный код Python
  • загружать файлы и каталоги
  • собирать пароли браузеров, файлы cookie, данные автозаполнения и историю просмотров
  • искать текстовые файлы, файлы документации в формате Markdown и файлы баз данных
  • собирать историю команд оболочки на хосте
  • собирать информацию о конфигурации сети
  • перечислять запущенные процессы

 

Наборы данных Mapbox также используются для кражи данных, хотя загрузка больших файлов осуществляется отдельно через HTTP-сервер.

Цепочка заражения ChocoRAT
Источник: Sekoia

 

Читать  Вышел Tails 6.18 с мостами WebTunnel и обновленным браузером Tor

Sekoia определила по меньшей мере семь PoC-репозиториев на GitHub, которые распространяют ChocoPoC и размещают эксплойты для FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) и Joomla SP Page Builder ( CVE-2026-48908).

Исследователи выяснили, что skytext был скачан 2400 раз, в основном на системах на базе Linux.

Количество скачиваний резко возросло после обнаружения популярной уязвимости, которая использовалась как приманка, чтобы заставить ничего не подозревающих исследователей скачивать и тестировать PoC из репозиториев.

Загрузка трендов для skytext
Источник: Sekoia

 

Sekoia также сообщает, что до появления frint и skytext в рамках кампании использовались два разных пакета — slogsec и logcrypt.cryptography — с очень похожим исходным кодом, которые доставляли одну и ту же полезную нагрузку ChocoPoC.

Неясно, кто стоит за этой кампанией, но исследователи обнаружили несколько адресов электронной почты, связанных с коммиттерами GitHub, которые в конце 2025 года участвовали в другой троянской активности с использованием PoC-эксплойтов.

Sekoia выяснила, что учетные данные для двух электронных адресов, использованных в кампаниях, фигурировали в базах данных утечек, а логин для третьего адреса «с высокой долей вероятности был получен в результате компрометации инфотейнера».

«Согласно полученным данным, мы с высокой долей уверенности можем утверждать, что злоумышленник в основном использовал скомпрометированные учетные записи для публикации вредоносных пакетов PyPI и PoC», — говорят исследователи Sekoia.

Исследователи предупреждают, что новый метод доставки вредоносного ПО позволяет сохранить эксплойт в неизменном виде, назначив вредоносное поведение пакетам, которые сами по себе кажутся безобидными.

Поскольку тестировщики на уязвимости и проникновение являются привлекательной мишенью, поскольку они часто запускают вредоносный или ненадежный код, им рекомендуется никогда не доверять репозиториям GitHub и запускать непроверенный код только в изолированных средах.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

один × 2 =

Это может быть вам интересно


Спасибо!

Теперь редакторы в курсе.

Прокрутить страницу до начала