Scroll untuk baca artikel
Networking

Malware ChocoPoC baru menargetkan peneliti melalui eksploitasi PoC yang di trojan

1
×

Malware ChocoPoC baru menargetkan peneliti melalui eksploitasi PoC yang di trojan

Share this article
malware-chocopoc-baru-menargetkan-peneliti-melalui-eksploitasi-poc-yang-di-trojan
Malware ChocoPoC baru menargetkan peneliti melalui eksploitasi PoC yang di trojan

Malware ChocoPoc dikirimkan melalui eksploitasi trojan di GitHub

Beberapa eksploitasi bukti konsep (PoC) yang dipersenjatai di GitHub ditemukan mengirimkan trojan akses jarak jauh (RAT) berbasis Python bernama ChocoPoC yang dapat menjalankan perintah dan mencuri data sensitif dalam kampanye yang diyakini menargetkan peneliti keamanan siber.

Example 300x600

Menyembunyikan malware dalam eksploitasi PoC untuk berbagai kerentanan bukanlah hal barukarena terdapat contoh pelaku ancaman yang menyamar sebagai peneliti keamanan nyata dan mengambil keuntungan dari kerentanan yang sedang tren untuk menargetkan penguji kerentanan dan penetrasi atau peretas berketerampilan rendah.

Namun, ChocoPoC menonjol karena tidak menyematkan malware secara langsung ke dalam file eksploitasi tetapi karena menambahkan paket Python berbahaya ke daftar ketergantungan PoC.

gambar

Menurut para peneliti di perusahaan keamanan siber Sekoia, paket-paket tersebut dihosting di Python Package Index (PyPI), sebuah platform yang digunakan oleh pengembang Python untuk mencari dan berbagi kode.

Setelah korban mengkloning repositori berbahaya, paket trojan bernama ‘frint’ secara otomatis diambil dan diinstal pada sistem mereka.

Contoh repositori berbahaya
Contoh repositori berbahaya
Source: Sekoia

Selama instalasi, paket tersebut menarik paket ketergantungan berbahaya, ‘skytext’, yang berisi ekstensi Python asli yang dikompilasi.

Saat PoC dijalankan, ekstensi berjalan secara otomatis dan mendekripsi kode Python tambahan yang tertanam yang memicu pengunduh untuk mengambil muatan akhir, ChocoPoC, dari kumpulan data Mapbox.

ChocoPoC RAT memiliki kemampuan sebagai berikut:

  • jalankan perintah shell arbitrer dan kode Python arbitrer
  • mengunggah file dan direktori
  • mengumpulkan kata sandi browser, cookie, data isi otomatis, dan riwayat penelusuran
  • mencari file teks, file dokumentasi penurunan harga, dan file database
  • mengumpulkan riwayat shell dari host
  • mengumpulkan konfigurasi jaringan
  • menghitung proses yang sedang berjalan

Kumpulan data Mapbox juga disalahgunakan untuk eksfiltrasi data, meskipun unggahan file yang lebih besar ditangani secara terpisah melalui server HTTP.

Rantai infeksi
Rantai infeksi ChocoRAT
Source: Sekoia

Sekoia telah mengidentifikasi setidaknya tujuh repositori PoC di GitHub yang mendistribusikan ChocoPoC dan eksploitasi host untuk FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751), dan Pembuat Halaman Joomla SP (CVE-2026-48908).

Itu ditemukan peneliti skytext itu diunduh 2.400 kali, sebagian besar pada sistem berbasis Linux.

Pengunduhan melonjak setelah terungkapnya kerentanan populer, yang berfungsi sebagai daya tarik untuk menarik peneliti yang tidak menaruh curiga untuk mengunduh dan menguji PoC dari repositori.

Unduh tren untuk skytext
Unduh tren untuk skytext
Source: Sekoia

Sekoia juga melaporkan bahwa sebelum frint dan skytext, kampanye tersebut menggunakan dua paket berbeda, bernama ‘slogsec’ dan ‘logcrypt.cryptography’, dengan kode sumber yang sangat mirip, dan mengirimkan muatan ChocoPoC yang sama.

Tidak jelas siapa yang berada di balik kampanye ini, tetapi para peneliti menemukan beberapa alamat email yang terkait dengan pengmitra GitHub terkait dengan aktivitas trojan eksploitasi PoC lainnya pada akhir tahun 2025.

Sekoia menemukan bahwa kredensial untuk dua email yang digunakan dalam kampanye tersebut muncul di database kebocoran, dan login untuk email lainnya “sangat mungkin berasal dari kompromi pencuri informasi.”

“Berdasarkan temuan ini, kami menilai dengan keyakinan tinggi bahwa penyerang terutama menggunakan akun yang telah disusupi untuk mempublikasikan paket PyPI dan PoC berbahaya,” kata peneliti Sekoia.

Para peneliti memperingatkan bahwa teknik pengiriman malware baru memungkinkan eksploitasi tetap utuh dengan menetapkan perilaku berbahaya ke paket-paket yang tampaknya tidak berbahaya.

Karena penguji kerentanan dan penetrasi adalah target yang menarik karena mereka sering menjalankan kode berbahaya atau tidak tepercaya, mereka disarankan untuk tidak mempercayai repositori GitHub secara membabi buta dan hanya mengeksekusi kode yang belum diverifikasi di lingkungan yang terisolasi.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya