ChocoPoC: троянские PoC атакуют исследователей уязвимостей
ChocoPoC: атака на исследователей уязвимостей через троянизированные PoC-эксплойты
Расследование недавних атак на цепочку поставок, направленных против сообщества исследователей уязвимостей, выявило новую изощренную кампанию. Злоумышленники распространяли троянизированные Proof-of-Concept (PoC) эксплойты, маскируя их под легитимные инструменты для анализа свежих CVE. Основной инструмент атаки — вредоносное ПО, получившее имя ChocoPoC, — классифицируется как полнофункциональный Python Remote Access Trojan (RAT), нацеленный на кражу конфиденциальных данных, выполнение произвольных команд и сбор учетных данных.
Как злоумышленники эксплуатируют спешку исследователей
Вектор атаки построен на стремлении специалистов как можно быстрее разработать детектирующие механизмы для только что раскрытых уязвимостей. В кампании фигурировали PoC для следующих CVE:
- React2Shell (CVE-2025-55182)
- FortiWeb (CVE-2025-64446)
- Ivanti Sentry (CVE-2026-10520)
Атакующие активно задействовали недавно созданные или малоизвестные репозитории на платформах вроде GitHub, распространяя скомпрометированные PoC. Их метод доставки опирается на технику dependency confusion: в требованиях к запуску PoC фигурирует вредоносный Python-пакет frint, который, в свою очередь, зависит от недавно опубликованного пакета skytext.
Механизм заражения и доставки полезной нагрузки
При выполнении PoC автоматически устанавливаются необходимые зависимости, вместе с которыми на машину жертвы попадает троянизированная нативная библиотека. Она запускает цепочку вредоносного ПО: расшифровывает дополнительные скрипты и загружает вторую стадию полезной нагрузки из скомпрометированного API. Инфраструктура управления и контроля (C2) использует наборы данных Mapbox, маскируя трафик под легитимные сервисы с помощью техники Domain Fronting. Это существенно затрудняет обнаружение аномалий стандартными средствами безопасности.
Функциональные возможности ChocoPoC
ChocoPoC представляет собой полноценный RAT, способный регулировать частоту опроса C2-сервера и отправлять ответы атакующему на основе структуры опроса. Вредоносное ПО решает три основные задачи:
- Кража учетных данных из популярных веб-браузеров и сканирование на наличие конфиденциальных файлов в локальной системе;
- Выполнение произвольных команд на скомпрометированной машине;
- Закрепление в системе: размещение дополнительных троянизированных файлов в каталоге
site-packagesинтерпретатора Python и применение техник изменения временных меток для уклонения от forensic-анализа.
Среди обрабатываемых RAT команд также присутствуют операции system reconnaissance, динамическое выполнение кода, подготовка и упаковка похищенных данных, а также централизованный credential harvesting.
Масштаб кампании и значение для безопасности
Аналитики выявили как минимум семь отдельных репозиториев PoC, развертывающих схожие цепочки заражения. Это свидетельствует о скоординированной операции, вероятно, управляемой одним злоумышленником. Подобные устойчивые тактики отражают смещение фокуса атак на среду разработчика: исследователи уязвимостей становятся приоритетной целью в силу доступа к чувствительной информации и специализированным инструментам.
Широкие последствия данной стратегии подчеркивают острую необходимость повышения бдительности среди специалистов по кибербезопасности. Рутинная установка зависимостей теперь может служить механизмом доставки сложных угроз, а постоянная адаптация к ландшафту исследований уязвимостей делает критически важным неукоснительное соблюдение принципов операционной безопасности (OPSEC) при работе с любым ненадежным кодом.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



