Sahte PoC Depolarıyla Güvenlik Araştırmacılarını Hedef Alan ChocoPoC Truva Atı Yazılım

Sahte PoC Depolarıyla Güvenlik Araştırmacılarını Hedef Alan ChocoPoC Truva Atı

Saldırganlar, GitHub'da sahte istismar kodlarıyla güvenlik araştırmacılarını hedef alan ChocoPoC adlı bir truva atı yayıyor. Bu kötü amaçlı yazılım, P...

Siber güvenlik araştırmacıları, yeni bir tehdit kampanyasının hedefi haline geldi. Saldırganlar, GitHub'da popüler güvenlik açıklarını (CVE) istismar ettiğini iddia eden sahte proof-of-concept (PoC) depoları oluşturarak, araştırmacıların bu kodları çalıştırmasını sağlıyor. Bu depolar, ChocoPoC adlı bir truva atını barındırıyor. YesWeHack ve Sekoia'nın 1 Temmuz'da yayımladığı ortak rapora göre, kötü amaçlı yazılım ve sunucuları hâlâ aktif durumda. Araştırmacılar, bu PoC'lerin kesinlikle çalıştırılmaması konusunda uyarıyor.

Tuzak, PoC kodunun temiz görünmesine rağmen, kötü amaçlı yazılımın bir Python paketi bağımlılığı olarak gizlenmesine dayanıyor. Kullanıcı, depoyu klonlayıp 'pip install' komutunu çalıştırdığında, 'frint' adlı bir paket yükleniyor ve bu da 'skytext' paketini çekiyor. skytext, Linux'ta 'gradient.so' veya Windows'ta 'gradient.pyd' adlı derlenmiş bir dosya içeriyor. Bu dosya, yalnızca gerçek PoC dosyası (örneğin EXPLOIT_POC.py) yüklendiğinde aktif hale geliyor ve truva atını indirip çalıştırıyor. Bu sayede, tek başına analiz edildiğinde zararsız görünüyor.

ChocoPoC, tam bir uzaktan erişim truva atı olarak çalışıyor. Chrome, Brave, Edge ve Firefox tarayıcılarından kaydedilmiş şifreler, çerezler, otomatik doldurma verileri ve geçmişi çalıyor. Ayrıca metin dosyaları, notlar, yerel veritabanları, kabuk geçmişi, ağ ayarları ve çalışan işlemlerin listesini topluyor. Saldırgan, herhangi bir kabuk komutunu çalıştırabiliyor, Python kodu çalıştırabiliyor, klasörleri kopyalayabiliyor ve tespit edilmemek için yavaşlama özelliğini kullanabiliyor. Kodda İspanyolca komut adları ve küçük hatalar bulunuyor, bu da yapay zeka yerine elle yazıldığını gösteriyor.

Uzmanların Görüşleri

Kampanyanın yaygınlığına bakıldığında, YesWeHack ve Sekoia en az yedi sahte PoC deposu tespit etti. Bunlar arasında FortiWeb, React2Shell, MongoBleed, PAN-OS, Ivanti Sentry, Check Point VPN ve Joomla SP Page Builder gibi popüler güvenlik açıkları bulunuyor. skytext paketi yaklaşık 2.400 kez indirilmiş ve indirme sayıları büyük CVE'lerin duyurulmasının ardından artış göstermiş. Araştırmacılar, aynı kampanyanın daha önceki bir versiyonunda 'slogsec' ve 'logcrypt.cryptography' paketlerinin kullanıldığını ve aynı aktör tarafından yönetildiğini düşünüyor. Güvenlik araştırmacıları, yüksek ayrıcalıklara sahip oldukları ve müşteri bilgilerine eriştikleri için saldırganlar için cazip hedefler oluşturuyor.

Paylaş: