Вредоносная программа ChocoPoc распространяется через троянские эксплойты на GitHub
В результате использования нескольких эксплойтов для проверки концепции (PoC) на GitHub был создан троян удаленного доступа (RAT) на основе Python под названием ChocoPoC, который может выполнять команды и похищать конфиденциальные данные.
Скрытие вредоносного ПО в PoC-эксплойтах для различных уязвимостей не является чем-то новым, поскольку известны случаи, когда злоумышленники выдавали себя за настоящих исследователей в области безопасности и использовали актуальные уязвимости, чтобы атаковать тестировщиков на уязвимости и проникновение или хакеров с низким уровнем квалификации.
Однако ChocoPoC примечателен тем, что вредоносное ПО не встраивается непосредственно в файл эксплойта, а добавляется в список зависимостей PoC.
По данным исследователей из компании Sekoia, специализирующейся на кибербезопасности, пакеты размещены на Python Package Index (PyPI) — платформе, которую разработчики Python используют для поиска и обмена кодом.
После того как жертва клонирует вредоносный репозиторий, троянизированный пакет под названием frint автоматически загружается и устанавливается в ее системе.
Во время установки пакет подключает вредоносный пакет зависимостей skytext, который содержит скомпилированное нативное расширение Python.
При выполнении PoC расширение запускается автоматически и расшифровывает дополнительный встроенный код Python, который запускает загрузчик для получения финальной полезной нагрузки ChocoPoC из набора данных Mapbox.
RAT ChocoPoC обладает следующими возможностями:
- выполнять произвольные команды оболочки и произвольный код Python
- загружать файлы и каталоги
- собирать пароли браузеров, файлы cookie, данные автозаполнения и историю просмотров
- искать текстовые файлы, файлы документации в формате Markdown и файлы баз данных
- собирать историю команд оболочки на хосте
- собирать информацию о конфигурации сети
- перечислять запущенные процессы
Наборы данных Mapbox также используются для кражи данных, хотя загрузка больших файлов осуществляется отдельно через HTTP-сервер.
Sekoia определила по меньшей мере семь PoC-репозиториев на GitHub, которые распространяют ChocoPoC и размещают эксплойты для FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) и Joomla SP Page Builder ( CVE-2026-48908).
Исследователи выяснили, что skytext был скачан 2400 раз, в основном на системах на базе Linux.
Количество скачиваний резко возросло после обнаружения популярной уязвимости, которая использовалась как приманка, чтобы заставить ничего не подозревающих исследователей скачивать и тестировать PoC из репозиториев.
Sekoia также сообщает, что до появления frint и skytext в рамках кампании использовались два разных пакета — slogsec и logcrypt.cryptography — с очень похожим исходным кодом, которые доставляли одну и ту же полезную нагрузку ChocoPoC.
Неясно, кто стоит за этой кампанией, но исследователи обнаружили несколько адресов электронной почты, связанных с коммиттерами GitHub, которые в конце 2025 года участвовали в другой троянской активности с использованием PoC-эксплойтов.
Sekoia выяснила, что учетные данные для двух электронных адресов, использованных в кампаниях, фигурировали в базах данных утечек, а логин для третьего адреса «с высокой долей вероятности был получен в результате компрометации инфотейнера».
«Согласно полученным данным, мы с высокой долей уверенности можем утверждать, что злоумышленник в основном использовал скомпрометированные учетные записи для публикации вредоносных пакетов PyPI и PoC», — говорят исследователи Sekoia.
Исследователи предупреждают, что новый метод доставки вредоносного ПО позволяет сохранить эксплойт в неизменном виде, назначив вредоносное поведение пакетам, которые сами по себе кажутся безобидными.
Поскольку тестировщики на уязвимости и проникновение являются привлекательной мишенью, поскольку они часто запускают вредоносный или ненадежный код, им рекомендуется никогда не доверять репозиториям GitHub и запускать непроверенный код только в изолированных средах.
Редактор: AndreyEx


