Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Новиот ChocoPoC RAT ги таргетира истражувачите на ранливости преку лажни PoC репозиториуми

Напаѓачите кријат тројанец за кражба на податоци во лажен exploit код наменет токму за луѓето кои професионално бараат безбедносни ранливости. Малициозниот софтвер, наречен ChocoPoC, се дистрибуира преку Python Proof-of-Concept (PoC) репозиториуми на GitHub, кои тврдат дека експлоатираат новообјавени и актуелни CVE ранливости.

Доколку корисникот изврши еден од овие PoC експлоити, малициозниот код незабележливо ги краде зачуваните лозинки, колачињата (cookies) од прелистувачите и локалните датотеки, а истовремено му овозможува на напаѓачот далечински пристап (shell) до компромитираниот систем.

Компаниите YesWeHack и Sekoia ги објавија резултатите од заедничкото истражување на 1 јули, предупредувајќи дека во моментот на објавувањето и малициозниот софтвер и неговата инфраструктура сè уште биле активни. Поради тоа, тие препорачуваат да не се извршува ниту еден од овие PoC репозиториуми.

Трикот е во тоа каде е скриен малициозниот код. Видливиот PoC изгледа сосема легитимно и не содржи ништо сомнително. Наместо тоа, малициозниот код е скриен во Python пакет што PoC автоматски го презема како зависност (dependency), па лесно може да остане незабележан при брза проверка на изворниот код.

Како функционира нападот

Мамката е временскиот притисок. Кога ќе биде објавена сериозна ранливост, истражувачите брзаат да ја тестираат и често преземаат PoC експлоити од заедницата за да заштедат време. Оваа кампања ја злоупотребува токму таа практика како пат за инфекција.

Процесот изгледа вака:

  1. Истражувачот го клонира GitHub репозиториумот и извршува pip install за да ги инсталира потребните зависности.
  2. При инсталацијата се презема пакет наречен frint, кој автоматски презема уште еден пакет со име skytext.
  3. Пакетот skytext содржи мала компајлирана датотека (gradient.so на Linux или gradient.pyd на Windows), која се активира веднаш штом се стартува PoC експлоитот.
  4. Малициозниот код прво проверува дали навистина е вчитан оригиналниот PoC, барајќи датотека како EXPLOIT_POC.py или слично име.
  5. Само ако ја пронајде, го распакува својот малициозен товар (payload) и го презема тројанецот.

Токму оваа последна проверка го прави откривањето потешко. Ако безбедносен истражувач или sandbox го анализира само пакетот skytext, без целосниот PoC околу него, малициозниот код останува неактивен и изгледа безопасно.

Што краде и што овозможува

Откако ќе се активира, ChocoPoC функционира како целосен Remote Access Trojan (RAT).

Тој може да украде:

  • зачувани лозинки;
  • колачиња (cookies);
  • податоци за автоматско пополнување (autofill);
  • историја на прелистување од Chrome, Brave, Microsoft Edge и Firefox;
  • текстуални датотеки и белешки;
  • локални бази на податоци;
  • историја на shell команди;
  • мрежни поставки;
  • листа на активни процеси на системот.

Покрај кражбата на податоци, ChocoPoC му овозможува на напаѓачот далечинска контрола врз компромитираниот компјутер, што може да се искористи за понатамошни напади или инсталирање дополнителен малициозен софтвер.

Напаѓачот, исто така, може:

  • да извршува каква било shell команда;
  • да стартува произволен Python код;
  • да презема цели директориуми (папки) од компромитираниот систем;
  • намерно да го забави работењето на малициозниот софтвер за да остане понезабележлив.

Неколку од командите во малициозниот код се именувани на шпански јазик, а истражувачите забележале и мали програмерски грешки. Според нив, тоа укажува дека кодот најверојатно е рачно напишан од човек, а не автоматски генериран од AI.

Како комуницира со напаѓачот

За комуникација со командно-контролниот (C2) сервер, малициозниот софтвер се крие „на очиглед“.

Наместо да контактира класичен C2 сервер, тој ги добива инструкциите преку dataset сместен на Mapbox – легитимна платформа за дигитални мапи. На тој начин услугата се користи како таканаречен dead drop, односно посредничко место каде напаѓачот остава команди без директна комуникација со заразениот систем.

Покрај тоа, адресата се разрешува преку DNS-over-HTTPS (DoH), а се користи и техника позната како domain fronting, поради што мрежниот сообраќај изгледа како сосема нормални API повици кон Mapbox.

За пренос на поголеми количини украдени податоци се користи посебен сервер на IP адресата 91.132.163.78.

Колку е распространета кампањата

Компаниите YesWeHack и Sekoia идентификувале најмалку седум лажни PoC репозиториуми, секој поврзан со звучна и широко експлоатирана ранливост:

  • FortiWeb Path Traversal (CVE-2025-64446)
  • React2Shell (CVE-2025-55182)
  • MongoBleed (CVE-2025-14847)
  • PAN-OS Authentication Bypass (CVE-2026-0257)
  • Ivanti Sentry Command Injection (CVE-2026-10520)
  • Check Point VPN Authentication Bypass (CVE-2026-50751)
  • Joomla SP Page Builder Remote Code Execution (RCE) (CVE-2026-48908)

Само малициозниот пакет skytext бил преземен околу 2.400 пати, најчесто на Linux системи.

Истражувачите нагласуваат дека бројот на преземања не значи дека сите корисници биле заразени. Сепак, тие забележале дека преземањата нагло се зголемувале веднаш по јавното објавување на големи CVE ранливости, што се совпаѓа со начинот на кој напаѓачите ја мамат својата целна публика – безбедносните истражувачи кои брзаат да тестираат новообјавени експлоити.

Претходна верзија на истата кампања, која датира од крајот на 2025 година, користела уште два малициозни Python пакети – slogsec и logcrypt.cryptography – со речиси идентичен код.

Sekoia со висок степен на сигурност проценува дека зад двете кампањи стои ист напаѓач, бидејќи биле повторно употребени исти контролни механизми и препознатливи обележја во инфраструктурата.

Истражувачите наведуваат дека операторот користел повеќе профили на GitHub, PyPI и Mapbox, при што дел од нив биле креирани со претходно протечени или украдени кориснички сметки. Засега ниту една позната хакерска група не е официјално поврзана со оваа кампања.

Зошто се таргетираат безбедносните истражувачи

Истражувачите за сајбер-безбедност претставуваат особено вредна цел.

По природа на својата работа, тие редовно извршуваат непроверен код, често со високи системски привилегии. На нивните компјутери се наоѓаат доверливи информации како што се:

  • акредитиви на клиенти;
  • приватни извештаи за ранливости;
  • информации за тековни безбедносни ангажмани;
  • SSH клучеви и cloud акредитиви.

Компромитирањето на еден истражувач може да му овозможи на напаѓачот пристап до многу повеќе системи отколку само до еден лаптоп.

Како пример се наведува кампањата MUT-1244, во која лажни PoC репозиториуми биле користени за кражба на SSH клучеви и cloud акредитиви од членови на red team тимови и безбедносни истражувачи.

Позната тактика со нов начин на испорака

Овој пристап не е нов.

Севернокорејската хакерска група Lazarus со години ги таргетира истражувачите, претставувајќи се како колеги што бараат безбедносни пропусти. Во 2021 година таа дистрибуираше малициозни Visual Studio проекти, а во 2023 година искористи zero-day ранливост против истражувачи, по што следуваа уште неколку слични кампањи.

Од страната на финансиски мотивираниот сајбер-криминал, компанијата Trend Micro откри лажен PoC за Windows LDAP ранливоста CVE-2024-49113, кој крадел податоци од истражувачи во почетокот на 2025 година.

Подоцна, во текот на 2025 година, беше откриена уште една кампања што дистрибуираше лажни PoC експлоити со тројанец наречен WebRAT, при што најчести жртви биле студенти и помалку искусни безбедносни тестери.

Што го прави ChocoPoC поразличен

Новината кај ChocoPoC не е самиот тројанец, туку начинот на неговата испорака.

Малициозниот код не се наоѓа во самиот PoC, туку е скриен во една од неговите зависности (dependencies). Така, датотеката што истражувачот ја чита изгледа целосно легитимно и не буди сомнеж.

Како што наведуваат авторите на истражувањето:

„Малициозниот софтвер сам по себе не е ништо ново. Она што се менува е начинот на неговата испорака.“

Што треба да се направи

Истражувачите препорачуваат:

  • Секој PoC да се третира како потенцијално малициозен сè додека не се докаже спротивното.
  • Да се избегнува извршување код од новокреирани или непознати GitHub профили.
  • Да се анализира целиот синџир на зависности, а не само главната PoC датотека.
  • Да се обрне внимание на новообјавени Python пакети, непознати одржувачи (maintainers) и профили со сомнителна или скриена историја.
  • PoC експлоитите да се тестираат само во привремени виртуелни машини (VM), но да се има предвид дека само изолацијата не е доволна за овој напад. Најбезбедно е воопшто да не се инсталираат сомнителните пакети.
  • Да се провери дали на системите се инсталирани пакетите frint, skytext, slogsec или logcrypt.cryptography, како и дали постојат датотеки што одговараат на hash вредностите наведени во извештајот.
  • Ако некој од овие пакети бил извршен, веднаш да се сменат сите акредитиви (лозинки, API клучеви, токени) и компромитираниот систем целосно да се реинсталира.

Поголемата опасност

Најголемиот ризик, според Sekoia, не е само компромитирањето на поединечен истражувач.

Овие кампањи ги таргетираат луѓето што создаваат безбедносни детекции и PoC експлоити за широко користени рамки (frameworks) како Nuclei и MDUT.

Тоа отвора можност за двоен напад врз синџирот на снабдување (double supply-chain attack): ако биде компромитиран еден истражувач, малициозниот код може незабележано да заврши во алатки и репозиториуми на кои им веруваат илјадници други безбедносни професионалци ширум светот.

Извори:

  • The Hacker News – New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos The Hacker News