Siber saldırganlar, güvenlik araştırmacılarını hedef alan yeni bir yöntem geliştirdi: Sahte proof-of-concept (PoC) depolarına gizlenmiş ChocoPoC adlı bir truva atı. Bu kötü amaçlı yazılım, GitHub'da popüler güvenlik açıklarını sömürdüğünü iddia eden Python depoları aracılığıyla yayılıyor. Araştırmacılar bu PoC'leri çalıştırdığında, arka planda sessizce tarayıcı şifreleri, çerezler ve dosyalar çalınıyor; saldırgana da kurbanın makinesinde bir kabuk sağlanıyor. YesWeHack ve Sekoia tarafından 1 Temmuz'da yayınlanan ortak rapora göre, bu kampanya hâlâ aktif ve araştırmacılar bu PoC'lerin kesinlikle çalıştırılmaması gerektiği konusunda uyarıyor.
Saldırının sinsi yanı, kötü amaçlı kodun doğrudan PoC dosyasında değil, bir bağımlılık paketinde gizlenmesi. PoC'nin görünen kısmı temiz görünürken, kötü amaçlı yük 'frint' ve 'skytext' adlı Python paketlerinde saklanıyor. Kullanıcı 'pip install' komutuyla bağımlılıkları yüklediğinde, 'skytext' paketi derlenmiş bir dosyayı (Linux'ta 'gradient.so', Windows'ta 'gradient.pyd') indiriyor. Bu dosya, yalnızca gerçek PoC dosyası (örneğin 'EXPLOIT_POC.py') algılandığında aktif hale geliyor; bu da geleneksel kum havuzu analizlerinden kaçmasını sağlıyor. Zaman baskısı altındaki araştırmacılar, büyük bir güvenlik açığı duyurulduğunda hızlı hareket etme eğiliminde oldukları için bu tuzağa düşüyor.
ChocoPoc tam teşekküllü bir uzaktan erişim truva atı (RAT) olarak çalışıyor. Chrome, Brave, Edge ve Firefox tarayıcılarından kaydedilmiş şifreleri, çerezleri, otomatik doldurma verilerini ve geçmişi çalıyor. Ayrıca metin dosyaları, notlar, yerel veritabanları, kabuk geçmişi ve ağ ayarları gibi hassas bilgileri topluyor. Saldırgan, herhangi bir kabuk komutu çalıştırabiliyor, rastgele Python kodu çalıştırabiliyor ve tüm klasörleri kopyalayabiliyor. Kötü amaçlı yazılımın kontrolü ise Mapbox gibi meşru bir harita servisi üzerinden sağlanıyor; talimatlar bu servisteki bir veri kümesinden okunuyor ve trafik normal API çağrıları gibi görünüyor. Büyük veri aktarımları ise 91.132.163.78 IP adresindeki ayrı bir sunucuya gidiyor.
YesWeHack ve Sekoia, her biri yüksek profilli bir güvenlik açığıyla ilişkilendirilen en az yedi sahte PoC deposu tespit etti. Bunlar arasında FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) ve Joomla SP Page Builder (CVE-2026-48908) açıkları yer alıyor. 'skytext' paketi yaklaşık 2.400 kez indirilmiş. Araştırmacılar, bu tür sahte PoC'lere karşı dikkatli olunması gerektiğini vurguluyor: PoC'leri yalnızca güvenilir kaynaklardan alın, bağımlılık zincirini kontrol edin ve asla üretim ortamında çalıştırmayın. Sistemlerinizde 'frint', 'skytext', 'slogsec' ve 'logcrypt.cryptography' paketlerini kontrol edin; eğer bu paketlerden herhangi birini çalıştırdıysanız, kimlik bilgilerinizi değiştirin ve sistemi yeniden kurun.