Beberapa eksploitasi bukti konsep (PoC) yang dipersenjatai di GitHub ditemukan mengirimkan trojan akses jarak jauh (RAT) berbasis Python bernama ChocoPoC yang dapat menjalankan perintah dan mencuri data sensitif dalam kampanye yang diyakini menargetkan peneliti keamanan siber.
Menyembunyikan malware dalam eksploitasi PoC untuk berbagai kerentanan bukanlah hal barukarena terdapat contoh pelaku ancaman yang menyamar sebagai peneliti keamanan nyata dan mengambil keuntungan dari kerentanan yang sedang tren untuk menargetkan penguji kerentanan dan penetrasi atau peretas berketerampilan rendah.
Namun, ChocoPoC menonjol karena tidak menyematkan malware secara langsung ke dalam file eksploitasi tetapi karena menambahkan paket Python berbahaya ke daftar ketergantungan PoC.
Menurut para peneliti di perusahaan keamanan siber Sekoia, paket-paket tersebut dihosting di Python Package Index (PyPI), sebuah platform yang digunakan oleh pengembang Python untuk mencari dan berbagi kode.
Setelah korban mengkloning repositori berbahaya, paket trojan bernama ‘frint’ secara otomatis diambil dan diinstal pada sistem mereka.

Source: Sekoia
Selama instalasi, paket tersebut menarik paket ketergantungan berbahaya, ‘skytext’, yang berisi ekstensi Python asli yang dikompilasi.
Saat PoC dijalankan, ekstensi berjalan secara otomatis dan mendekripsi kode Python tambahan yang tertanam yang memicu pengunduh untuk mengambil muatan akhir, ChocoPoC, dari kumpulan data Mapbox.
ChocoPoC RAT memiliki kemampuan sebagai berikut:
- jalankan perintah shell arbitrer dan kode Python arbitrer
- mengunggah file dan direktori
- mengumpulkan kata sandi browser, cookie, data isi otomatis, dan riwayat penelusuran
- mencari file teks, file dokumentasi penurunan harga, dan file database
- mengumpulkan riwayat shell dari host
- mengumpulkan konfigurasi jaringan
- menghitung proses yang sedang berjalan
Kumpulan data Mapbox juga disalahgunakan untuk eksfiltrasi data, meskipun unggahan file yang lebih besar ditangani secara terpisah melalui server HTTP.
.jpg)
Source: Sekoia
Sekoia telah mengidentifikasi setidaknya tujuh repositori PoC di GitHub yang mendistribusikan ChocoPoC dan eksploitasi host untuk FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751), dan Pembuat Halaman Joomla SP (CVE-2026-48908).
Itu ditemukan peneliti skytext itu diunduh 2.400 kali, sebagian besar pada sistem berbasis Linux.
Pengunduhan melonjak setelah terungkapnya kerentanan populer, yang berfungsi sebagai daya tarik untuk menarik peneliti yang tidak menaruh curiga untuk mengunduh dan menguji PoC dari repositori.

Source: Sekoia
Sekoia juga melaporkan bahwa sebelum frint dan skytext, kampanye tersebut menggunakan dua paket berbeda, bernama ‘slogsec’ dan ‘logcrypt.cryptography’, dengan kode sumber yang sangat mirip, dan mengirimkan muatan ChocoPoC yang sama.
Tidak jelas siapa yang berada di balik kampanye ini, tetapi para peneliti menemukan beberapa alamat email yang terkait dengan pengmitra GitHub terkait dengan aktivitas trojan eksploitasi PoC lainnya pada akhir tahun 2025.
Sekoia menemukan bahwa kredensial untuk dua email yang digunakan dalam kampanye tersebut muncul di database kebocoran, dan login untuk email lainnya “sangat mungkin berasal dari kompromi pencuri informasi.”
“Berdasarkan temuan ini, kami menilai dengan keyakinan tinggi bahwa penyerang terutama menggunakan akun yang telah disusupi untuk mempublikasikan paket PyPI dan PoC berbahaya,” kata peneliti Sekoia.
Para peneliti memperingatkan bahwa teknik pengiriman malware baru memungkinkan eksploitasi tetap utuh dengan menetapkan perilaku berbahaya ke paket-paket yang tampaknya tidak berbahaya.
Karena penguji kerentanan dan penetrasi adalah target yang menarik karena mereka sering menjalankan kode berbahaya atau tidak tepercaya, mereka disarankan untuk tidak mempercayai repositori GitHub secara membabi buta dan hanya mengeksekusi kode yang belum diverifikasi di lingkungan yang terisolasi.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.









