✔Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Специалисты YesWeHack и Sekoia обнаружили вредоносную кампанию, нацеленную на ИБ-исследователей: злоумышленники публикуют на GitHub поддельные PoC-эксплоиты для свежих уязвимостей. При запуске такие эксплоиты устанавливают в систему жертвы RAT ChocoPoC, который ворует пароли, файлы и данные из браузеров, а затем предоставляет своим операторам удаленный доступ к зараженной машине.
Исследователи пишут, что вредоносный код скрыт не в самих эксплоитах, поэтому беглый аудит репозиториев не выявляет ничего подозрительного. Только после запуска команды pip install PoC загружает зависимость frint, которая скачивает пакет skytext. Внутри него скрывается скомпилированный модуль gradient.so для Linux или gradient.pyd для Windows.
При этом модуль запускается только вместе с PoC и ищет файл EXPLOIT_POC.py или файл с похожим названием. После этого происходит распаковка пейлоада и загружается сам ChocoPoC. Благодаря этой схеме отдельный запуск вредоносного пакета в песочнице ничего не дает, ведь без прочих файлов репозитория малварь остается неактивной.
На зараженной машине ChocoPoC работает как полноценный троян удаленного доступа: извлекает сохраненные пароли, cookie, данные автозаполнения и историю из браузеров Chrome, Brave, Edge и Firefox. Также вредонос собирает текстовые файлы, заметки, локальные базы данных, историю командной строки, сетевые настройки и список запущенных процессов. Кроме того, операторы малвари могут выполнять произвольные команды и Python-код, скачивать целые директории и приостанавливать активность малвари, чтобы не привлекать внимания.
Отмечается, что некоторые названия команд написаны на испанском языке, а в коде вредоноса встречаются мелкие ошибки. По мнению исследователей, это указывает на то, что код писали вручную, а не генерировали с помощью ИИ.
Для управления ChocoPoC использует датасет в картографическом сервисе Mapbox, где скрыты адреса инфраструктуры. Малварь получает адрес управляющего сервера через DNS-over-HTTPS и использует domain fronting, поэтому трафик выглядит как обычные обращения к API Mapbox.
Эксперты обнаружили как минимум семь фейковых репозиториев, которые якобы содержали эксплоиты для уязвимостей FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) и Joomla SP Page Builder (CVE-2026-48908).
Использующийся в атаках пакет skytext был загружен около 2400 раз, преимущественно пользователями Linux-систем. Хотя само по себе количество загрузок не говорит о числе заражений, отмечается, что пики скачиваний совпадали с раскрытием информации о серьезных уязвимостях.
Эксперты полагают, что эта кампания началась еще в конце 2025 года: тогда атакующие применяли почти идентичные пакеты slogsec и logcrypt.cryptography. С высокой долей вероятности за обеими волнами атак стоят одни и те же операторы, так как в коде были замечены повторяющиеся маркеры управляющей инфраструктуры. При этом злоумышленники регулярно меняли аккаунты GitHub, PyPI и Mapbox, и считается, что часть этих акаунтов могла быть взломана или создана с использованием украденных данных.
В Sekoia резюмируют, что ИБ-исследователям следует считать любой PoC-эксплоит потенциально опасным, проверять всю цепочку зависимостей и избегать пакетов, опубликованных неизвестными или недавно созданными аккаунтами. Так как даже запуск эксплоита на виртуальной машине не гарантирует обнаружения ChocoPoC, подозрительные зависимости лучше вообще не устанавливать.
Также рекомендуется проверить систему на наличие frint, skytext, slogsec и logcrypt.cryptography. Если какой-либо из этих пакетов запускался, специалисты советуют сменить учетные данные и полностью переустановить систему.





