New ChocoPoC malware targets researchers via trojanized PoC exploits
Mis à jour :
Menace ChocoPoC : des exploits GitHub piégés ciblent les chercheurs en cybersécurité
Une campagne malveillante utilise des dépôts GitHub contenant des preuves de concept (PoC) d’exploits “trojanisés” pour infecter les chercheurs en cybersécurité avec le cheval de Troie d’accès à distance (RAT) nommé ChocoPoC. Contrairement aux méthodes classiques, le code malveillant n’est pas directement inséré dans l’exploit, mais dissimulé via des dépendances Python corrompues hébergées sur le dépôt officiel PyPI.
Points clés :
- Mécanisme d’infection : Lors de l’installation des dépendances du PoC, les paquets malveillants (
frint,skytext) sont téléchargés automatiquement, déclenchant l’exécution d’un code chiffré qui télécharge le payload final depuis un jeu de données Mapbox. - Capacités du malware : ChocoPoC peut exécuter des commandes shell, voler des mots de passe, des cookies et l’historique de navigation, ainsi qu’exfiltrer des fichiers sensibles et des données réseau.
- Ciblage : La campagne exploite l’intérêt des chercheurs pour les vulnérabilités récentes, utilisant souvent des comptes GitHub compromis pour diffuser ces paquets malveillants.
Vulnérabilités exploitées comme leurres (CVE) : Les dépôts identifiés utilisent des exploits pour les failles suivantes :
- CVE-2025-64446 (FortiWeb)
- CVE-2025-55182 (React2Shell)
- CVE-2025-14847 (MongoBleed)
- CVE-2026-0257 (PAN-OS)
- CVE-2026-10520 (Ivanti Sentry)
- CVE-2026-50751 (Check Point VPN)
- CVE-2026-48908 (Joomla SP Page Builder)
Recommandations :
- Isolation totale : N’exécutez jamais de code provenant de dépôts GitHub non vérifiés directement sur vos machines de travail ; utilisez systématiquement des environnements isolés (VM, conteneurs, sandbox).
- Vérification des dépendances : Soyez vigilant lors de l’installation de bibliothèques Python depuis PyPI, surtout si elles sont listées comme dépendances de PoCs téléchargés en ligne.
- Méfiance accrue : Ne faites pas aveuglément confiance aux dépôts GitHub, même s’ils semblent légitimes ou populaires suite à la publication d’une nouvelle vulnérabilité.
