ChocoPoC: троянские PoC атакуют исследователей уязвимостей

ChocoPoC: атака на исследователей уязвимостей через троянизированные PoC-эксплойты

Расследование недавних атак на цепочку поставок, направленных против сообщества исследователей уязвимостей, выявило новую изощренную кампанию. Злоумышленники распространяли троянизированные Proof-of-Concept (PoC) эксплойты, маскируя их под легитимные инструменты для анализа свежих CVE. Основной инструмент атаки — вредоносное ПО, получившее имя ChocoPoC, — классифицируется как полнофункциональный Python Remote Access Trojan (RAT), нацеленный на кражу конфиденциальных данных, выполнение произвольных команд и сбор учетных данных.

Как злоумышленники эксплуатируют спешку исследователей

Вектор атаки построен на стремлении специалистов как можно быстрее разработать детектирующие механизмы для только что раскрытых уязвимостей. В кампании фигурировали PoC для следующих CVE:

  • React2Shell (CVE-2025-55182)
  • FortiWeb (CVE-2025-64446)
  • Ivanti Sentry (CVE-2026-10520)

Атакующие активно задействовали недавно созданные или малоизвестные репозитории на платформах вроде GitHub, распространяя скомпрометированные PoC. Их метод доставки опирается на технику dependency confusion: в требованиях к запуску PoC фигурирует вредоносный Python-пакет frint, который, в свою очередь, зависит от недавно опубликованного пакета skytext.

Механизм заражения и доставки полезной нагрузки

При выполнении PoC автоматически устанавливаются необходимые зависимости, вместе с которыми на машину жертвы попадает троянизированная нативная библиотека. Она запускает цепочку вредоносного ПО: расшифровывает дополнительные скрипты и загружает вторую стадию полезной нагрузки из скомпрометированного API. Инфраструктура управления и контроля (C2) использует наборы данных Mapbox, маскируя трафик под легитимные сервисы с помощью техники Domain Fronting. Это существенно затрудняет обнаружение аномалий стандартными средствами безопасности.

Функциональные возможности ChocoPoC

ChocoPoC представляет собой полноценный RAT, способный регулировать частоту опроса C2-сервера и отправлять ответы атакующему на основе структуры опроса. Вредоносное ПО решает три основные задачи:

  • Кража учетных данных из популярных веб-браузеров и сканирование на наличие конфиденциальных файлов в локальной системе;
  • Выполнение произвольных команд на скомпрометированной машине;
  • Закрепление в системе: размещение дополнительных троянизированных файлов в каталоге site-packages интерпретатора Python и применение техник изменения временных меток для уклонения от forensic-анализа.

Среди обрабатываемых RAT команд также присутствуют операции system reconnaissance, динамическое выполнение кода, подготовка и упаковка похищенных данных, а также централизованный credential harvesting.

Масштаб кампании и значение для безопасности

Аналитики выявили как минимум семь отдельных репозиториев PoC, развертывающих схожие цепочки заражения. Это свидетельствует о скоординированной операции, вероятно, управляемой одним злоумышленником. Подобные устойчивые тактики отражают смещение фокуса атак на среду разработчика: исследователи уязвимостей становятся приоритетной целью в силу доступа к чувствительной информации и специализированным инструментам.

Широкие последствия данной стратегии подчеркивают острую необходимость повышения бдительности среди специалистов по кибербезопасности. Рутинная установка зависимостей теперь может служить механизмом доставки сложных угроз, а постоянная адаптация к ландшафту исследований уязвимостей делает критически важным неукоснительное соблюдение принципов операционной безопасности (OPSEC) при работе с любым ненадежным кодом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: