New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos
Mis à jour :
Campagne de cyberattaques « ChocoPoC » : Quand les chercheurs en sécurité sont la cible
Une campagne malveillante sophistiquée cible les chercheurs en cybersécurité en diffusant des preuves de concept (PoC) d’exploits factices via GitHub. Le logiciel malveillant, baptisé ChocoPoC, se dissimule au sein des dépendances Python pour contourner les analyses de code rapides.
Points clés :
- Mode opératoire : L’attaquant publie des PoC liés à des vulnérabilités récentes. Le code malveillant est injecté dans des paquets dépendants (
frintetskytext) installés lors de l’exécution depip install. - Mécanisme de dissimulation : Le malware reste inactif tant qu’il ne détecte pas le fichier PoC original, rendant la détection en environnement de test (sandbox) inefficace.
- Communication C2 : Le malware utilise Mapbox (via DNS-over-HTTPS) pour recevoir des instructions, imitant un trafic API légitime.
- Impact : Vol de mots de passe, cookies, historique de navigation, fichiers locaux et accès à distance complet via un shell.
- Cibles : Les chercheurs qui récupèrent précipitamment des PoC lors de la publication de nouvelles CVE.
Vulnérabilités associées (exploits factices) :
- CVE-2025-64446 (FortiWeb)
- CVE-2025-55182 (React2Shell)
- CVE-2025-14847 (MongoBleed)
- CVE-2026-0257 (PAN-OS)
- CVE-2026-10520 (Ivanti Sentry)
- CVE-2026-50751 (Check Point VPN)
- CVE-2026-48908 (Joomla)
Recommandations :
- Vérification des dépendances : Auditer systématiquement l’intégralité de l’arbre des dépendances, et non seulement le script PoC principal.
- Méfiance proactive : Éviter les dépôts provenant de comptes récents ou inconnus.
- Recherche d’indicateurs : Vérifier la présence des paquets
frint,skytext,slogsecoulogcrypt.cryptographysur vos machines. - Réponse à incident : En cas d’exécution, reconstruire la machine compromise et renouveler l’ensemble des identifiants (mots de passe, clés SSH, jetons API).
- Isolation : Bien que nécessaire, l’utilisation de machines virtuelles ne suffit pas à neutraliser cette menace ; la prudence lors de l’installation de bibliothèques tierces reste la meilleure défense.
