Специалисты YesWeHack и Sekoia обнаружили кампанию, которая бьёт по ИБ-исследователям и разработчикам. На GitHub выкладывают фальшивые PoC-эксплоиты для свежих уязвимостей, а вместе с ними — вредонос ChocoPoC, который крадёт данные и открывает удалённый доступ к машине.
Схема опасна тем, что на первый взгляд репозиторий выглядит обычным. Пользователь видит код эксплоита, запускает установку зависимостей, а вредоносная часть срабатывает уже на следующем этапе. В итоге заражение маскируется под проверку уязвимости, а не под классическую вредоносную загрузку.
Что произошло
Исследователи говорят о минимум семи поддельных репозиториях, где злоумышленники имитировали эксплоиты для свежих проблем в FortiWeb, React2Shell, MongoBleed, PAN-OS, Ivanti Sentry, Check Point и Joomla SP Page Builder. По сути, это ловушка для тех, кто привык быстро проверять новые публикации в открытых проектах.
На фоне таких инцидентов особенно важна привычка перепроверять источники кода. Об этом же мы уже писали в разборе HalluSquatting научил ИИ-агентов ставить вредоносные репозитории: фальшивые пакеты и репозитории всё чаще используют как точку входа.
Как работает схема заражения
Вредонос не лежит прямо в основном файле эксплоита. После команды установки тянется зависимость frint, затем — пакет skytext, а внутри уже спрятаны скомпилированные модули для Linux и Windows: gradient.so и gradient.pyd.
Дальше модуль ищет файл EXPLOIT_POC.py или похожее имя. Только если рядом есть нужные файлы репозитория, он распаковывает полезную нагрузку и запускает ChocoPoC. Отдельный запуск пакета в песочнице почти бесполезен — без полной структуры проекта вредонос не проявляется.
Такой подход хорошо ломает поверхностную проверку. Анализатор видит безобидную зависимость, а не полноценную цепочку заражения, и потому беглый аудит не замечает проблему.
Что умеет ChocoPoC и кого это задело
После заражения ChocoPoC работает как троян удалённого доступа. Он вытаскивает сохранённые пароли, cookie, данные автозаполнения и историю из браузеров Chrome, Brave, Edge и Firefox. Параллельно собирает текстовые файлы, заметки, локальные базы, историю командной строки, сетевые настройки и список запущенных процессов.
Операторы могут выполнять произвольные команды и Python-код, скачивать целые каталоги и временно прятать активность малвари. Для жертвы это означает не только утечку учётных данных, но и риск дальнейшего захвата рабочей среды, особенно если заражение произошло на машине исследователя или администратора.
Отдельная деталь — инфраструктура управления. Адреса прячут в датасете сервиса Mapbox, а сам сервер команд получает адрес через DNS-over-HTTPS и использует domain fronting. Внешне трафик выглядит как обычные обращения к API Mapbox, что осложняет фильтрацию и ручной анализ.
По данным экспертов, пакет skytext скачали около 2400 раз, в основном пользователи Linux. Это не равно числу заражений, но пики загрузок совпадали с публикацией сведений о заметных уязвимостях. Исследователи также считают, что кампания началась ещё в конце 2025 года: тогда атакующие применяли похожие пакеты slogsec и logcrypt.cryptography.
Что делать сейчас
ИБ-специалистам и разработчикам стоит относиться к любому PoC как к потенциально опасному объекту. Проверяйте не только основной файл, но и весь граф зависимостей, особенно если пакет пришёл от нового или малоизвестного аккаунта.
Если речь идёт о рабочей машине, а не о тестовом стенде, лучше не запускать такие репозитории вообще. Для изоляции используйте отдельную среду, а перед запуском сверяйте структуру проекта и имена зависимостей вручную. В похожих ситуациях полезно держать под рукой Роадмап по информационной безопасности: как собрать свой путь — он помогает выстроить базовую дисциплину проверки кода и источников.
Если вы уже запускали подозрительный пакет, эксперты советуют искать следы frint, skytext, slogsec и logcrypt.cryptography. После этого нужно сменить пароли, проверить активные сессии и переустановить систему, если есть признаки компрометации.
Чек-лист
- Не запускайте свежие PoC-репозитории с неизвестных аккаунтов без ручной проверки зависимостей.
- Сверяйте имена пакетов, дополнительные модули и файлы, которые подтягивает установка.
- Не тестируйте подозрительный код на основной рабочей машине.
- Проверяйте систему на наличие
frint,skytext,slogsecиlogcrypt.cryptography. - Меняйте пароли после любого сомнительного запуска и проверьте активные сессии в важных сервисах.
- Если нужен безопасный доступ к рабочим ресурсам из кафе, аэропорта или поезда, используйте защищённое подключение для открытых сетей как один из слоёв защиты.
- При признаках заражения отключите машину от сети и проведите полную проверку системы.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.