ChocoPoC атакует исследователей через поддельные PoC-репозитории
ChocoPoC: атака на цепочку поставок, нацеленная на исследователей
В 2025 году специалисты по кибербезопасности столкнулись с высокоточной угрозой, эксплуатирующей характерную для исследовательского сообщества спешку. Злоумышленники организовали атаку на цепочку поставок, направленную исключительно на исследователей уязвимостей и тестировщиков на проникновение. Инструментом нападения стала вредоносная кампания, получившая имя ChocoPoC. В её основе — Python RAT (Remote Access Trojan), способный похищать файлы, выполнять произвольные команды и собирать конфиденциальные данные в скомпрометированных системах.
Механика атаки: dependency confusion и поддельные PoC
Атакующие безошибочно рассчитали, что исследователи стремятся как можно быстрее получить рабочий модуль для недавно раскрытых уязвимостей. Для этого были созданы десятки поддельных репозиториев Proof of Concept (PoC) под видом актуальных CVE. Ключевым элементом цепочки стала вредоносная зависимость, размещённая в Python Package Index (PyPI). Когда жертва клонирует такой репозиторий и запускает привычную команду pip install, вместе с ожидаемым PoC незаметно устанавливается троянизированный дроппер. Этот метод — классическая dependency confusion: злоумышленники встраивают скомпрометированный пакет в окружение, где легитимные зависимости перехватываются вредоносным кодом.
RAT ChocoPoC: технические детали и уклонение
Вредоносная программа ChocoPoC демонстрирует высокий уровень скрытности, применяя арсенал техник обхода защит и анализа:
- timestomping — изменение временны́х меток файлов для маскировки под легитимные артефакты;
- мьютексы блокировки файлов — предотвращают повторный запуск, исключая появление подозрительных дубликатов процессов;
- обход PEB (Process Environment Block) — скрывает присутствие вредоносного кода в памяти;
- антиотладка (anti-debugging) — комплекс проверок, затрудняющих анализ в изолированных лабораторных средах.
Для дополнительной маскировки зловред использует стратегию собственных расширений легитимных пакетов. Он манипулирует порядком загрузки Python так, что при импорте безобидной библиотеки первой активируется вредоносная часть, в то время как подлинный код остаётся нетронутым и вызывает доверие у средств мониторинга. Расшифрованные встроенные скрипты устанавливают связь с командным сервером (C2) через легитимный сервис Mapbox, что позволяет передавать команды и эксфильтрованные данные, маскируя вредоносный трафик под обычные картографические запросы.
Цепочка заражения
Полный путь компрометации выглядит следующим образом:
- Исследователь находит поддельный репозиторий PoC для интересующей его CVE.
- При выполнении
pip installзагружается вредоносная PyPI-зависимость. - Троянизированный дроппер загружает основное тело RAT.
- RAT маскируется через собственное расширение легитимного пакета, перехватывая загрузку Python.
- Вредоносная библиотека расшифровывает скрипт, устанавливающий соединение с C2 через Mapbox.
- C2 выдаёт команды, а эксфильтрованные данные отправляются обратно по тому же скрытому каналу.
Эксфильтрация и цели
Основная активность ChocoPoC после закрепления в системе — сбор критичных данных. В приоритете оказываются учётные записи, сохранённые в популярных веб-браузерах, а также файлы, обычно содержащие конфиденциальную информацию: ключи, токены, отчёты о тестировании и VPN-конфигурации. Функционал позволяет оператору как проводить целенаправленный поиск файлов, так и выполнять произвольные команды в реальном времени.
Систематическая кампания и выводы
Анализ инфраструктуры показал, что ChocoPoC — не одиночный эпизод. Выявлены многочисленные PoC, использующие идентичные тактики развёртывания RAT, что указывает на скоординированные действия одного злоумышленника или группы. Целью является не разовая акция, а систематическая эксплуатация доверия внутри сообщества исследователей. Вредоносный код искусно вплетён в безобидные на вид зависимости, и его обнаружение становится крайне затруднительным — как для автоматизированных средств, так и для самих специалистов, чьи рабочие процессы теперь напрямую атакованы. Кампания ChocoPoC наглядно демонстрирует эволюцию угроз в сфере безопасности: враг уже не прячется в тени, а маскируется под привычный инструментарий своих же жертв.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



