Нападатели крият троянски кон за кражба на данни в рамките на фалшив код за експлойт, насочен към хората, които се занимават професионално с откриване на софтуерни грешки. Зловредният софтуер, наречен ChocoPoC, се разпространява в Python хранилища за доказателство на концепцията (PoC) в GitHub, които твърдят, че експлоатират актуални нови CVE уязвимости.
Ако стартирате някое от тях, то тихомълком извлича вашите запазени пароли, бисквитки от браузъра и файлове, след което предоставя на атакуващия достъп до командния ред (shell) на вашата машина. YesWeHack и Sekoia публикуваха своите съвместни констатации на 1 юли и предупредиха, че към момента на доклада зловредният софтуер и неговите сървъри все още са активни, така че не трябва да стартирате нито едно от тези PoC.
Трикът се крие в това къде се намира кодът. Видимият PoC код изглежда чист. Зловредният софтуер е скрит в Python пакет, който PoC изтегля като зависимост, поради което лесно преминава през бърз преглед на кода.
Примамката е времевият натиск. Когато се появи сериозна уязвимост, изследователите се надпреварват да я тестват и бързат да вземат публично достъпни PoC кодове от общността. Тази кампания превръща този навик в път за инфектиране.
Вие клонирате хранилището и изпълнявате pip install, за да изтеглите изискванията на PoC. Това изтегля пакет с име frint, който от своя страна изтегля втори пакет – skytext. Пакетът skytext доставя малък компилиран файл (gradient.so за Linux, gradient.pyd за Windows), който се изпълнява в момента, в който стартирате PoC.
Той се активира само когато види, че реалният PoC е зареден, като проверява за файл с име EXPLOIT_POC.py или подобен, след което разопакова своя полезен товар и изтегля троянския кон. Тази последна проверка е причината обикновената пясъчница (sandbox) да не засича нищо. Ако стартирате пакета самостоятелно, без пълния PoC около него, зловредният софтуер остава неактивен.
След като бъде стартиран, ChocoPoC работи като пълнофункционален троянски кон за отдалечен достъп (RAT). Той извлича запазени пароли, бисквитки, данни за автопопълване и история от Chrome, Brave, Edge и Firefox. Събира текстови файлове, бележки и локални бази данни, заедно с историята на командния ред, мрежовите настройки и списъка с работещи процеси.
Атакуващият може също така да изпълнява всякакви shell команди, да стартира произволен Python код, да изтегля цели папки и да забавя работата на зловредния софтуер, за да остане незабелязан. Няколко от имената на командите са на испански език, а кодът съдържа малки грешки, което кара изследователите да смятат, че е писан на ръка, а не е генериран от изкуствен интелект.
За управление зловредният софтуер се крие пред очите на всички. Той чете своите команди от набор от данни в Mapbox – легитимна картографска услуга, използвайки я като междинна точка (dead drop). Той резолва този адрес чрез DNS-over-HTTPS и използва трик за доменно маскиране (domain-fronting), така че трафикът да изглежда като обикновени заявки към API на Mapbox. По-големите качвания на данни отиват на отделен сървър с IP адрес 91.132.163.78.
YesWeHack и Sekoia откриха поне седем фалшиви PoC хранилища, всяко от които е свързано с високопрофилна уязвимост: FortiWeb path traversal (CVE-2025-64446), PAN-OS auth bypass (CVE-2026-0257), Ivanti Sentry command injection (CVE-2026-10520), Check Point VPN auth bypass (CVE-2026-50751) и Joomla SP Page Builder RCE (CVE-2026-48908).
Само пакетът skytext е бил изтеглен около 2400 пъти, предимно на Linux системи. Изтеглянията не доказват, че някой е бил заразен, но те отбелязват пик веднага след като големите CVE уязвимости станаха публични.
По-ранна версия на същата кампания, датираща от края на 2025 г., е използвала два други пакета – slogsec и logcrypt.cryptography, с почти идентичен код. Sekoia оценява с висока степен на достоверност, че зад двете кампании стои един и същ субект, въз основа на повторно използвани контролни маркери. Операторът е сменял акаунти в GitHub, PyPI и Mapbox, като няколко от тях са били създадени чрез изтекли или откраднати данни за достъп. Към момента няма посочена конкретна известна хакерска група.
Изследователите по сигурността са ценна мишена. Те по подразбиране стартират недоверен код, често с високи привилегии, а техните машини съхраняват клиентски идентификационни данни, поверителни доклади и подробности за текущи ангажименти. Компрометирането на един от тях може да доведе до достъп далеч отвъд един-единствен лаптоп.
Кампанията MUT-1244 показа ползите от това, като използва фалшиви PoC хранилища за кражба на SSH ключове и облачни идентификационни данни от red team специалисти и изследователи.
Това не е нова идея, а просто нова опаковка. Севернокорейската група Lazarus ухажва изследователи от години, представяйки се за колеги ловци на грешки и изпращайки зловредни проекти за Visual Studio през 2021 г., а през 2023 г. използва уязвимост от нулев ден срещу тях, като оттогава има нови вълни.
От страна на конвенционалната киберпрестъпност, Trend Micro откри фалшив PoC за Windows LDAP уязвимост (CVE-2024-49113), който крадеше данни на изследователи в началото на 2025 г., а отделна кампания разпространяваше фалшиви CVE PoC, носещи троянски кон, наречен WebRAT, в края на 2025 г., засягайки предимно студенти и младши тестери.
Това, което ChocoPoC добавя, е скритото място. Зловредният софтуер живее в зависимост, така че самият PoC код, който четете, остава чист. Както отбелязват изследователите, самият зловреден софтуер е стара новина, но „това, което се променя, е механизмът на доставка“.
Третирайте всеки PoC като враждебен, докато не се докаже противното, и избягвайте код от чисто нови или неизвестни акаунти. Проучвайте цялата верига от зависимости, а не само основния PoC файл. Внимавайте за наскоро публикувани пакети, непознати поддържащи разработчици и акаунти със скрита история. Тествайте само в изолирана виртуална машина за еднократна употреба, но помнете, че само изолацията няма да активира този софтуер. Истинското решение е изобщо да не инсталирате пакетите. Проверете системите си за наличието на frint, skytext, slogsec и logcrypt.cryptography, както и за файловите хешове в доклада. Ако сте стартирали някой от тях, сменете идентификационните си данни.