🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Várias explorações de prova de conceito (PoC) armadas no GitHub foram encontradas entregando um trojan de acesso remoto (RAT) baseado em Python chamado ChocoPoC, que pode executar comandos e roubar dados confidenciais em uma campanha que se acredita ter como alvo pesquisadores de segurança cibernética.
Ocultar malware em explorações de PoC para diversas vulnerabilidades não é novidade, pois há exemplos de agentes de ameaças se passando por verdadeiros pesquisadores de segurança e aproveitando as tendências de vulnerabilidades para atingir testadores de vulnerabilidade e penetração ou hackers pouco qualificados.
No entanto, o ChocoPoC se destaca por não incorporar o malware diretamente no arquivo de exploração, mas por adicionar pacotes Python maliciosos à lista de dependências do PoC.
De acordo com pesquisadores da empresa de segurança cibernética Sekoia, os pacotes são hospedados no Python Package Index (PyPI), uma plataforma usada por desenvolvedores Python para fornecer e compartilhar código.
Depois que a vítima clona um repositório malicioso, um pacote trojanizado chamado ‘frint’ é automaticamente obtido e instalado em seus sistemas.
Exemplo de repositório maliciosoFonte: Sekoia
Durante a instalação, o pacote extrai um pacote de dependência malicioso, ‘skytext’, que contém uma extensão Python nativa compilada.
Quando o PoC é executado, a extensão é executada automaticamente e descriptografa o código Python incorporado adicional que aciona um downloader para recuperar a carga final, ChocoPoC, de um conjunto de dados Mapbox.
O ChocoPoC RAT possui os seguintes recursos:
execute comandos shell arbitrários e código Python arbitrário
fazer upload de arquivos e diretórios
coletar senhas de navegador, cookies, dados de preenchimento automático e histórico de navegação
pesquise arquivos de texto, arquivos de documentação de markdown e arquivos de banco de dados
reunir o histórico do shell do host
coletar configuração de rede
enumerar processos em execução
Os conjuntos de dados Mapbox também são usados para exfiltração de dados, embora uploads de arquivos maiores sejam tratados separadamente por meio de um servidor HTTP.
Cadeia de infecção ChocoRATFonte: Sekoia
Sekoia identificou pelo menos sete repositórios PoC no GitHub que distribuem ChocoPoC e hospedam explorações para FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) e Joomla SP Page Builder (CVE-2026-48908).
Os pesquisadores descobriram que o skytext foi baixado 2.400 vezes, principalmente em sistemas baseados em Linux.
Os downloads aumentaram após a divulgação de uma vulnerabilidade popular, que serviu como uma isca para atrair pesquisadores desavisados para baixar e testar PoCs dos repositórios.
Baixe tendências para skytextFonte: Sekoia
Sekoia também relata que antes do frint e do skytext, a campanha usava dois pacotes diferentes, chamados ‘slogsec’ e ‘logcrypt.cryptography’, com código-fonte muito semelhante, e entregava a mesma carga útil do ChocoPoC.
Não está claro quem está por trás desta campanha, mas os pesquisadores encontraram vários endereços de e-mail associados a committers do GitHub vinculados a outra atividade de trojanização de exploração PoC no final de 2025.
A Sekoia descobriu que as credenciais de dois dos e-mails usados nas campanhas apareceram em bancos de dados de vazamento, e o login de outro “provavelmente se origina de um comprometimento do infostealer”.
“De acordo com essas descobertas, avaliamos com grande confiança que o invasor empregou principalmente contas comprometidas para publicar pacotes PyPI e PoCs maliciosos”, dizem os pesquisadores da Sekoia.
Os pesquisadores alertam que a nova técnica de entrega de malware permite manter a exploração intacta, atribuindo o comportamento malicioso a pacotes que parecem inofensivos por si só.
Como os testadores de vulnerabilidade e penetração são alvos atraentes porque geralmente executam códigos maliciosos ou não confiáveis, recomenda-se que eles nunca confiem cegamente nos repositórios GitHub e executem apenas códigos não verificados em ambientes isolados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
Ocultar malware em explorações de PoC para diversas vulnerabilidades não é novidade, pois há exemplos de agentes de ameaças se passando por verdadeiros pesquisadores de segurança e aproveitando as tendências de vulnerabilidades para atingir testadores de vulnerabilidade e penetração ou hackers pouco qualificados.
No entanto, o ChocoPoC se destaca por não incorporar o malware diretamente no arquivo de exploração, mas por adicionar pacotes Python maliciosos à lista de dependências do PoC.
De acordo com pesquisadores da empresa de segurança cibernética Sekoia, os pacotes são hospedados no Python Package Index (PyPI), uma plataforma usada por desenvolvedores Python para fornecer e compartilhar código.
Depois que a vítima clona um repositório malicioso, um pacote trojanizado chamado ‘frint’ é automaticamente obtido e instalado em seus sistemas.
Exemplo de repositório maliciosoFonte: Sekoia
Durante a instalação, o pacote extrai um pacote de dependência malicioso, ‘skytext’, que contém uma extensão Python nativa compilada.
Quando o PoC é executado, a extensão é executada automaticamente e descriptografa o código Python incorporado adicional que aciona um downloader para recuperar a carga final, ChocoPoC, de um conjunto de dados Mapbox.
O ChocoPoC RAT possui os seguintes recursos:
execute comandos shell arbitrários e código Python arbitrário
fazer upload de arquivos e diretórios
coletar senhas de navegador, cookies, dados de preenchimento automático e histórico de navegação
pesquise arquivos de texto, arquivos de documentação de markdown e arquivos de banco de dados
reunir o histórico do shell do host
coletar configuração de rede
enumerar processos em execução
Os conjuntos de dados Mapbox também são usados para exfiltração de dados, embora uploads de arquivos maiores sejam tratados separadamente por meio de um servidor HTTP.
Cadeia de infecção ChocoRATFonte: Sekoia
Sekoia identificou pelo menos sete repositórios PoC no GitHub que distribuem ChocoPoC e hospedam explorações para FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) e Joomla SP Page Builder (CVE-2026-48908).
Os pesquisadores descobriram que o skytext foi baixado 2.400 vezes, principalmente em sistemas baseados em Linux.
Os downloads aumentaram após a divulgação de uma vulnerabilidade popular, que serviu como uma isca para atrair pesquisadores desavisados para baixar e testar PoCs dos repositórios.
Baixe tendências para skytextFonte: Sekoia
Sekoia também relata que antes do frint e do skytext, a campanha usava dois pacotes diferentes, chamados ‘slogsec’ e ‘logcrypt.cryptography’, com código-fonte muito semelhante, e entregava a mesma carga útil do ChocoPoC.
Não está claro quem está por trás desta campanha, mas os pesquisadores encontraram vários endereços de e-mail associados a committers do GitHub vinculados a outra atividade de trojanização de exploração PoC no final de 2025.
A Sekoia descobriu que as credenciais de dois dos e-mails usados nas campanhas apareceram em bancos de dados de vazamento, e o login de outro “provavelmente se origina de um comprometimento do infostealer”.
“De acordo com essas descobertas, avaliamos com grande confiança que o invasor empregou principalmente contas comprometidas para publicar pacotes PyPI e PoCs maliciosos”, dizem os pesquisadores da Sekoia.
Os pesquisadores alertam que a nova técnica de entrega de malware permite manter a exploração intacta, atribuindo o comportamento malicioso a pacotes que parecem inofensivos por si só.
Como os testadores de vulnerabilidade e penetração são alvos atraentes porque geralmente executam códigos maliciosos ou não confiáveis, recomenda-se que eles nunca confiem cegamente nos repositórios GitHub e executem apenas códigos não verificados em ambientes isolados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #novo #malware #chocopoc #tem #como #alvo #pesquisadores #por #meio #de #explorações #de #poc #trojanizadas
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário