Няколко компрометирани експлойта с доказателство за концепция (PoC) в GitHub бяха открити да разпространяват троянски кон за отдалечен достъп (RAT) на базата на Python, наречен ChocoPoC. Той може да изпълнява команди и да краде чувствителни данни в кампания, за която се смята, че е насочена срещу изследователи по киберсигурност.
Скриването на зловреден софтуер в PoC експлойти за различни уязвимости не е новост. Има примери за атакуващи, които се представят за истински изследователи по сигурността и се възползват от актуални уязвимости, за да атакуват специалисти по тестване за проникване или по-неопитни хакери.
Въпреки това, ChocoPoC се отличава с това, че не вгражда зловредния софтуер директно във файла на експлойта, а добавя компрометирани Python пакети към списъка с зависимости на PoC.
Според изследователи от компанията за киберсигурност Sekoia, пакетите се хостват в Python Package Index (PyPI) — платформа, използвана от разработчиците на Python за споделяне на код.
След като жертвата клонира компрометирано хранилище, пакетът frint се изтегля и инсталира автоматично на системата им. По време на инсталацията той изтегля друга злонамерена зависимост, наречена skytext, която съдържа компилирано Python разширение. При стартиране на PoC, разширението декриптира вграден Python код, който задейства програма за изтегляне на крайната цел — ChocoPoC.
Възможностите на ChocoPoC RAT включват:
- изпълнение на произволни shell команди и Python код;
- събиране на пароли от браузъри, бисквитки, данни за автоматично попълване и история на сърфирането;
- търсене на текстови файлове, markdown документация и файлове с бази данни;
- събиране на историята от shell-а на хоста.
Sekoia е идентифицирала поне седем PoC хранилища в GitHub, разпространяващи ChocoPoC за продукти като FortiWeb, PAN-OS, Ivanti Sentry, Check Point VPN и др. Изследователите препоръчват да не се доверява сляпо на хранилища в GitHub и винаги да се стартира непроверен код в изолирани среди.