Saldırganlar, geçimini sağlamak için böcek avlayan insanları hedef alan sahte bir yararlanma kodunun içine veri çalan bir truva atı saklıyor. ChocoPoC adı verilen kötü amaçlı yazılım, yeni popüler CVE'lerden yararlandığını iddia eden GitHub'daki Python kavram kanıtlama (PoC) depolarında dolaşıyor.
Birini çalıştırın; kayıtlı şifrelerinizi, tarayıcı çerezlerinizi ve dosyalarınızı sessizce kaldırır ve ardından saldırgana makinenizde bir kabuk verir. YesWeHack ve Sekoia ortak bulgularını 1 Temmuz'da yayınladılar ve bu rapor itibarıyla kötü amaçlı yazılımın ve sunucularının hâlâ çalışır durumda olduğu, dolayısıyla bu PoC'lerden hiçbirini çalıştırmayacağı konusunda uyardılar.
İşin püf noktası kodun bulunduğu yerdir. Görünür PoC temiz görünüyor. Kötü amaçlı yazılım, PoC'nin bağımlılık olarak aldığı bir Python paketinde gizleniyor, bu nedenle hızlı bir kod incelemesini geçebiliyor.
Sonuç ve Değerlendirme
Yem, zaman baskısıdır. Büyük bir kusur ortaya çıktığında, araştırmacılar bunu test etmek ve hızlı hareket etmek için topluluk PoC'lerini almak için yarışır. Bu kampanya bu alışkanlığı bir enfeksiyon yoluna dönüştürüyor.
Zincir, açık bir ifadeyle:
Önemli Gelişmeler
Depoyu klonlarsınız ve PoC'nin gereksinimlerini getirmek için pip kurulumunu çalıştırırsınız. Bu, frint adlı bir paketi içeri çeker ve bu da ikinci bir paket olan skytext'i sürükler. skytext, PoC'yi başlattığınız anda çalışan küçük bir derlenmiş dosya (Linux'ta gradient.so, Windows'tagradient.pyd) gönderir. Yalnızca gerçek PoC'nin yüklendiğini gördüğünde uyanır, EXPLOIT_POC.py veya benzeri bir dosyayı kontrol eder, ardından yükünü açar ve truva atını indirir.
Bu son kontrol, düz bir sanal alanın neden hiçbir şey göremediğini gösterir. Etrafında tam PoC olmadan paketi kendi başına patlatırsanız, kötü amaçlı yazılım uykuda kalır.
Gelecekte Ne Bekleniyor?
Ne çalıyor ve ne yapıyor
Çalıştırıldıktan sonra ChocoPoC tam bir uzaktan erişim truva atıdır. Kayıtlı şifreleri, çerezleri, otomatik doldurmayı ve geçmişi Chrome, Brave, Edge ve Firefox'tan alır. Metin dosyalarını, notları ve yerel veritabanlarının yanı sıra kabuk geçmişini, ağ ayarlarını ve çalışan işlemlerin listesini alır.
Saldırgan ayrıca herhangi bir kabuk komutunu çalıştırabilir, rastgele Python çalıştırabilir, tüm klasörleri çekebilir ve sessiz kalmak için kötü amaçlı yazılımı yavaşlatabilir. Birkaç komut adı İspanyolcadır ve kod, araştırmacıların yapay zeka tarafından oluşturulan değil elle yazılmış olarak okuduğu küçük hatalar taşır.
Kontrol için kötü amaçlı yazılım göz önünde gizlenir. Siparişlerini, normal bir haritalama hizmeti olan Mapbox'taki bir veri kümesinden, onu ölü bir nokta olarak kullanarak okur. Bu adresi HTTPS üzerinden DNS üzerinden çözer ve bir alan adı yönlendirme hilesi kullanır, böylece trafik sıradan Mapbox API çağrıları gibi görünür. Daha büyük yüklemeler 91.132.163.78 adresindeki ayrı bir sunucuya gider.
Uzmanların Görüşleri
YesWeHack ve Sekoia, her biri yüksek profilli bir kusurla bağlantılı en az yedi sahte PoC deposu buldu:
FortiWeb yol geçişi (CVE-2025-64446)
Detaylar ve Etkileri
React2Shell (CVE-2025-55182)
MongoBleed (CVE-2025-14847)
PAN-OS kimlik doğrulama atlama (CVE-2026-0257)
Ivanti Sentry komut enjeksiyonu (CVE-2026-10520)
Teknik Analiz
Check Point VPN kimlik doğrulamasını atlama (CVE-2026-50751)
Joomla SP Sayfa Oluşturucu RCE (CVE-2026-48908)
Sistem Güvenliği
Yalnızca gökyüzü metni paketi, çoğu Linux'ta olmak üzere yaklaşık 2.400 kez indirildi. İndirmeler kimseye virüs bulaştığını kanıtlamıyor ancak büyük CVE'ler halka açıldıktan hemen sonra artış gösterdi ki bu da yemle örtüşüyor.
Aynı kampanyanın 2025'in sonlarına doğru daha önceki bir sürümünde, neredeyse aynı koda sahip slogsec ve logcrypt.cryptography adlı iki paket daha kullanıldı. Sekoia, yeniden kullanılan kontrol işaretlerine dayanarak bir aktörün her ikisinin de arkasında olduğunu yüksek bir güvenle değerlendiriyor.
Operatörün, birçoğu sızdırılan veya çalınan oturum açma bilgilerinden oluşturulan GitHub, PyPI ve Mapbox hesapları arasında geçiş yaptığını söylüyor. Bilinen hiçbir grubun adı verilmedi.
Nasıl Önlem Alınmalı?
Güvenlik araştırmacıları zengin bir hedef oluşturuyor. Tasarım gereği güvenilmeyen kodları genellikle yüksek ayrıcalıklarla çalıştırıyorlar ve makinelerinde müşteri kimlik bilgileri, özel raporlar ve canlı etkileşimlerin ayrıntıları bulunuyor. Birinden ödün verirseniz tek bir dizüstü bilgisayarın çok ötesine ulaşabilirsiniz.
MUT-1244 kampanyası, kırmızı ekip çalışanlarından ve araştırmacılardan SSH anahtarlarını ve bulut kimlik bilgilerini çalmak için sahte PoC depolarını kullanarak karşılığını gösterdi.
Bu yeni bir fikir değil, sadece yeni bir ambalaj. Kuzey Kore'deki Lazarus grubu, yıllardır araştırmacıların gözüne girdi, kendilerini böcek avcısı olarak tanıtıyor ve 2021'de kötü niyetli Visual Studio projeleri gönderiyor, ardından 2023'te yeni dalgalarla bu projelere sıfır gün yakıyor.
Ticari suç tarafında Trend Micro, 2025'in başlarında araştırmacı verilerini çalan bir Windows LDAP kusuru (CVE-2024-49113) için sahte bir PoC buldu ve ayrı bir kampanya, 2025'in sonlarında WebRAT adlı bir truva atı taşıyan sahte CVE PoC'leri iterek çoğunlukla öğrencileri ve genç test kullanıcılarını hedef aldı.
ChocoPoC'un eklediği şey saklanma noktasıdır. Kötü amaçlı yazılım bir bağımlılık içinde yaşar, dolayısıyla okuduğunuz PoC temiz kalır. yeniden olarak Araştırmacıların ifadesiyle, kötü amaçlı yazılımın kendisi eski bir haber, ancak "değişen şey dağıtım mekanizmasıdır."
Aksi kanıtlanana kadar herhangi bir PoC'ye düşmanca davranın ve yepyeni veya bilinmeyen hesaplardan gelen kodlardan uzak durun.
Yalnızca PoC dosyasını değil bağımlılık zincirinin tamamını okuyun. Yeni yayınlanan paketleri, tanıdık olmayan bakımcıları ve gizli geçmişi olan hesapları izleyin.
Yalnızca tek kullanımlık bir VM'de test yapın, ancak izolasyonun tek başına bu durumu tetiklemeyeceğini unutmayın. Gerçek düzeltme, paketleri hiç kurmamaktır.
Sistemlerinizde frint, skytext, slogsec ve logcrypt.cryptography'nin yanı sıra rapordaki dosya karmalarını kontrol edin. Bunlardan herhangi birini çalıştırdıysanız kimlik bilgilerini döndürün ve ana bilgisayarı yeniden oluşturun.
Daha büyük risk aşağı yöndedir. Bu yemler, Nuclei ve MDUT gibi çerçevelere tespitler ve PoC'ler sağlayan araştırmacıları hedef alıyor. Sekoia, tedarik zincirinin çifte darbe alması tehlikesine işaret ediyor: Bir araştırmacı zehirlenirse kötü kod binlerce kişinin güvendiği bir çerçeveye girebilir.