Множество компрометирани proof-of-concept (PoC) експлойти в GitHub разпространяват троянски кон за отдалечен достъп (RAT) на базата на Python, наречен ChocoPoC, който може да изпълнява команди и да краде чувствителни данни.
Скриването на зловреден софтуер в PoC експлойти за различни уязвимости не е новост, тъй като има примери за атакуващи групи, които се представят за истински изследователи по сигурността и се възползват от актуални уязвимости, за да атакуват специалисти по тестване за проникване или по-слабо квалифицирани хакери.
ChocoPoC обаче се отличава с това, че не вгражда зловредния софтуер директно във файла на експлойта, а добавя зловредни Python пакети към списъка с зависимости на PoC проекта.
Според изследователи от компанията за киберсигурност Sekoia, пакетите се хостват в Python Package Index (PyPI) – платформа, използвана от Python разработчиците за споделяне на код.
След като жертвата клонира зловредно хранилище, компрометиран пакет с име 'frint' автоматично се изтегля и инсталира на системата им. По време на инсталацията пакетът изтегля друга зловредна зависимост – 'skytext', която съдържа компилирано native Python разширение.
Когато PoC се изпълни, разширението стартира автоматично и декриптира допълнителен вграден Python код, който задейства програма за изтегляне (downloader) на крайната цел, ChocoPoC, от Mapbox dataset.
Троянският кон ChocoPoC RAT има следните възможности:
Наборите от данни на Mapbox също се злоупотребяват за филтриране на данни (exfiltration), въпреки че качването на по-големи файлове се извършва отделно чрез HTTP сървър.
Sekoia е идентифицирала поне седем PoC хранилища в GitHub, които разпространяват ChocoPoC и съдържат експлойти за FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) и Joomla SP Page Builder (CVE-2026-48908).
Изследователите са установили, че пакетът 'skytext' е изтеглен над 2400 пъти, предимно на системи под Linux.
Преди пакетите 'frint' и 'skytext', кампанията е използвала два други пакета – 'slogsec' и 'logcrypt.cryptography' с много сходен изходен код и същия зловреден софтуер ChocoPoC.
Не е ясно кой стои зад тази кампания, но изследователите са открили няколко имейл адреса, свързани с автори на комити в GitHub, които се свързват и с друга подобна дейност от края на 2025 г. Изследователите оценяват с висока степен на увереност, че нападателят е използвал предимно компрометирани акаунти за публикуване на зловредните PyPI пакети и PoC кодове.
Специалистите препоръчват никога да не се доверяваме сляпо на GitHub хранилища и да изпълняваме непотвърден код само в изолирани среди.