Специалисты YesWeHack и Sekoia обнаружили кампанию, которая бьёт по ИБ-исследователям и разработчикам. На GitHub выкладывают фальшивые PoC-эксплоиты для свежих уязвимостей, а вместе с ними — вредонос ChocoPoC, который крадёт данные и открывает удалённый доступ к машине.

Схема опасна тем, что на первый взгляд репозиторий выглядит обычным. Пользователь видит код эксплоита, запускает установку зависимостей, а вредоносная часть срабатывает уже на следующем этапе. В итоге заражение маскируется под проверку уязвимости, а не под классическую вредоносную загрузку.

Что произошло

Исследователи говорят о минимум семи поддельных репозиториях, где злоумышленники имитировали эксплоиты для свежих проблем в FortiWeb, React2Shell, MongoBleed, PAN-OS, Ivanti Sentry, Check Point и Joomla SP Page Builder. По сути, это ловушка для тех, кто привык быстро проверять новые публикации в открытых проектах.

На фоне таких инцидентов особенно важна привычка перепроверять источники кода. Об этом же мы уже писали в разборе HalluSquatting научил ИИ-агентов ставить вредоносные репозитории: фальшивые пакеты и репозитории всё чаще используют как точку входа.

Как работает схема заражения

Вредонос не лежит прямо в основном файле эксплоита. После команды установки тянется зависимость frint, затем — пакет skytext, а внутри уже спрятаны скомпилированные модули для Linux и Windows: gradient.so и gradient.pyd.

Дальше модуль ищет файл EXPLOIT_POC.py или похожее имя. Только если рядом есть нужные файлы репозитория, он распаковывает полезную нагрузку и запускает ChocoPoC. Отдельный запуск пакета в песочнице почти бесполезен — без полной структуры проекта вредонос не проявляется.

Такой подход хорошо ломает поверхностную проверку. Анализатор видит безобидную зависимость, а не полноценную цепочку заражения, и потому беглый аудит не замечает проблему.

Что умеет ChocoPoC и кого это задело

После заражения ChocoPoC работает как троян удалённого доступа. Он вытаскивает сохранённые пароли, cookie, данные автозаполнения и историю из браузеров Chrome, Brave, Edge и Firefox. Параллельно собирает текстовые файлы, заметки, локальные базы, историю командной строки, сетевые настройки и список запущенных процессов.

Операторы могут выполнять произвольные команды и Python-код, скачивать целые каталоги и временно прятать активность малвари. Для жертвы это означает не только утечку учётных данных, но и риск дальнейшего захвата рабочей среды, особенно если заражение произошло на машине исследователя или администратора.

Отдельная деталь — инфраструктура управления. Адреса прячут в датасете сервиса Mapbox, а сам сервер команд получает адрес через DNS-over-HTTPS и использует domain fronting. Внешне трафик выглядит как обычные обращения к API Mapbox, что осложняет фильтрацию и ручной анализ.

По данным экспертов, пакет skytext скачали около 2400 раз, в основном пользователи Linux. Это не равно числу заражений, но пики загрузок совпадали с публикацией сведений о заметных уязвимостях. Исследователи также считают, что кампания началась ещё в конце 2025 года: тогда атакующие применяли похожие пакеты slogsec и logcrypt.cryptography.

Что делать сейчас

ИБ-специалистам и разработчикам стоит относиться к любому PoC как к потенциально опасному объекту. Проверяйте не только основной файл, но и весь граф зависимостей, особенно если пакет пришёл от нового или малоизвестного аккаунта.

Если речь идёт о рабочей машине, а не о тестовом стенде, лучше не запускать такие репозитории вообще. Для изоляции используйте отдельную среду, а перед запуском сверяйте структуру проекта и имена зависимостей вручную. В похожих ситуациях полезно держать под рукой Роадмап по информационной безопасности: как собрать свой путь — он помогает выстроить базовую дисциплину проверки кода и источников.

Если вы уже запускали подозрительный пакет, эксперты советуют искать следы frint, skytext, slogsec и logcrypt.cryptography. После этого нужно сменить пароли, проверить активные сессии и переустановить систему, если есть признаки компрометации.

Чек-лист

  • Не запускайте свежие PoC-репозитории с неизвестных аккаунтов без ручной проверки зависимостей.
  • Сверяйте имена пакетов, дополнительные модули и файлы, которые подтягивает установка.
  • Не тестируйте подозрительный код на основной рабочей машине.
  • Проверяйте систему на наличие frint, skytext, slogsec и logcrypt.cryptography.
  • Меняйте пароли после любого сомнительного запуска и проверьте активные сессии в важных сервисах.
  • Если нужен безопасный доступ к рабочим ресурсам из кафе, аэропорта или поезда, используйте защищённое подключение для открытых сетей как один из слоёв защиты.
  • При признаках заражения отключите машину от сети и проведите полную проверку системы.
Поделиться: