新型 ChocoPoC 恶意软件通过木马化的 PoC 利用代码瞄准研究人员
- 浏览次数 101
- 喜欢 0
GitHub 上多个武器化的概念验证利用代码被发现用于传播一个名为 ChocoPoC 的 Python 远程访问木马,该木马能够执行命令并窃取敏感数据,该活动据信针对网络安全研究人员。
将恶意软件隐藏在针对各种漏洞的 PoC 利用代码中并非新鲜事,此前已有威胁行为者冒充真实安全研究人员,利用热门漏洞来针对漏洞和渗透测试人员或低技能黑客的先例。
然而,ChocoPoC 的特别之处在于,它并非直接将恶意软件嵌入利用文件,而是将恶意 Python 包添加到 PoC 的依赖项列表中。
据网络安全公司 Sekoia 的研究人员称,这些包托管在 Python Package Index 上,这是一个 Python 开发者获取和共享代码的平台。
一旦受害者克隆了恶意仓库,一个名为"frint"的木马化包就会被自动获取并安装到他们的系统上。
在安装过程中,该包会拉取一个恶意依赖包"skytext",其中包含一个编译好的原生 Python 扩展。
当 PoC 执行时,该扩展会自动运行并解密嵌入的附加 Python 代码,从而触发一个下载器从 Mapbox 数据集检索最终的 payload——ChocoPoC。
ChocoPoC RAT 具备以下能力:
- 执行任意 shell 命令和任意 Python 代码
- 上传文件和目录
- 收集浏览器密码、cookie、自动填充数据和浏览历史
- 搜索文本文件、Markdown 文档文件和数据库文件
- 收集主机的 shell 历史
- 收集网络配置
- 枚举正在运行的进程
Mapbox 数据集还被滥用于数据外泄,不过较大的文件上传通过 HTTP 服务器单独处理。
Sekoia 已在 GitHub 上识别出至少七个分发 ChocoPoC 的 PoC 仓库,这些仓库托管了针对 FortiWeb、React2Shell、MongoBleed、PAN-OS、Ivanti Sentry、Check Point VPN 和 Joomla SP Page Builder 的利用代码。
研究人员发现 skytext 已被下载 2400 次,主要发生在基于 Linux 的系统上。
下载量在热门漏洞披露后激增,这些漏洞被用作诱饵,引诱不设防的研究人员下载并测试来自这些仓库的 PoC。
Sekoia 还报告称,在 frint 和 skytext 之前,该活动使用了两个不同的包,名为"slogsec"和"logcrypt.cryptography",其源代码非常相似,并交付了相同的 ChocoPoC payload。
目前尚不清楚该活动背后的主使是谁,但研究人员发现了多个与 GitHub 提交者相关联的电子邮件地址,这些提交者与 2025 年底另一起 PoC 利用木马化活动有关。
Sekoia 发现,该活动中使用的两个电子邮件的凭证出现在泄漏数据库中,而另一个登录信息"极有可能源自信息窃取器的入侵"。
"根据这些发现,我们以高置信度评估认为,攻击者主要使用被攻破的账户来发布恶意 PyPI 包和 PoC。"Sekoia 研究人员表示。
研究人员警告称,这种新的恶意软件投递技术通过将恶意行为分配给看似无害的包,从而保持了利用代码本身的完整性。
由于漏洞和渗透测试人员经常运行恶意或不受信任的代码,因此他们是极具吸引力的目标,建议他们永远不要盲目信任 GitHub 仓库,并且只在隔离环境中执行未经验证的代码。