Специалисти по киберсигурност разкриха дългогодишна кампания, която превръща легитимни proof-of-concept (PoC) експлойти в оръжие срещу самите изследователи, които ги анализират. Операцията, наречена ChocoPoC, крие напълно функционален Python троянски кон за отдалечен достъп (RAT) в модифициран код на експлойти, споделени в GitHub и PyPI.
Жертвите, които изтеглят и стартират привидно нормален PoC, неволно инсталират задна врата (backdoor), способна да краде данни и да изпълнява команди. Атаките разчитат на компрометирани GitHub хранилища и зловредни Python пакети. Инсталацията обикновено се задейства чрез променен файл requirements.txt, който тайно добавя допълнителна зависимост по време на стандартно изпълнение на pip install.
Тази стъпка стартира верига от събития, включваща компилирано разширение, проверки срещу дебъгване и скрит даунлоудър. Анализаторите от Sekoia проследиха кампанията до обща инфраструктура и стил на кодиране, активни поне от 2023 г. Тъй като изследователите често изключват инструментите за сигурност при тестване на експлойти, те се оказват лесна и атрактивна мишена, осигуряваща ранен достъп до непубликувани уязвимости.
Инфекцията започва със свалянето на компрометиран пакет, който тайно инсталира разширение (например gradient.so за Linux или gradient.pyd за Windows). Кодът се зарежда директно в паметта на Python. След проверки за сигурност и търсене на файлове като exploit.py, на системата се пуска скритият стартер choco.py.
Вместо да се свързва с традиционен сървър, даунлоудърът използва Mapbox Datasets API, за да изтегли следващите инструкции. Този трик тип "dead-drop" маскира зловредния трафик като легитимни заявки към известна облачна платформа. RAT може да изпълнява shell команди, да стартира Python код, да краде файлове и данни от браузъри и да събира системна информация.
Експертите препоръчват внимателно преглеждане на PoC кода преди изпълнение, избягване на пакети от непознати хранилища и стартиране на съмнителен код единствено в изолирани среди (пясъчници).