Una nuova campagna malware chiamata ChocoPoC sta colpendo ricercatori di sicurezza e penetration tester sfruttando un metodo particolarmente subdolo: exploit proof-of-concept (PoC) trojanizzati pubblicati su GitHub.

Secondo i ricercatori di Sekoia e YesWeHack, il codice degli exploit rimane funzionante, ma il malware viene introdotto attraverso dipendenze Python malevole distribuite su PyPI. Clonando i repository compromessi, le vittime installano automaticamente pacchetti dannosi come frint, che a sua volta scarica skytext, fino ad attivare il payload finale ChocoPoC.

Il RAT permette agli attaccanti di eseguire comandi sul sistema, rubare credenziali e cookie dei browser, raccogliere file sensibili, cronologia della shell, configurazione di rete e informazioni sui processi attivi. Per l’esfiltrazione dei dati vengono utilizzati anche dataset di Mapbox, mentre i file più grandi vengono trasferiti tramite server HTTP.

La campagna ha coinvolto almeno sette repository GitHub contenenti exploit per vulnerabilità note in prodotti come FortiWeb, PAN-OS, Ivanti Sentry e Check Point VPN. Il pacchetto skytext è stato scaricato oltre 2.400 volte, soprattutto su sistemi Linux, con un forte aumento dopo la divulgazione di alcune vulnerabilità.

Gli esperti ritengono che gli attaccanti abbiano usato account compromessi per pubblicare i pacchetti malevoli su PyPI e GitHub. In campagne precedenti erano già stati osservati pacchetti simili con lo stesso payload ChocoPoC.

Il caso evidenzia un rischio crescente: anche strumenti usati per test di sicurezza possono diventare veicoli di malware. Gli esperti raccomandano quindi di non eseguire mai PoC non verificati in ambienti non isolati e di controllare attentamente le dipendenze software.

https://www.bleepingcomputer.com/news/security/new-chocopoc-malware-targets-researchers-via-trojanized-poc-exploits/

Twitter
Visit Us