Auf den Punkt: ChocoPoC wird über manipulierte Python-Pakete in scheinbar legitimen GitHub-Exploits verbreitet und beschafft sich Zugriff auf infizierte Systeme über mehrere Abhängigkeitsebenen.
Sicherheitsforscher von Sekoia haben eine gezielte Kampagne gegen Analysten und Penetrationstester dokumentiert, bei der ein Python-basierter Remote-Access-Trojaner über manipulierte Paketabhängigkeiten in GitHub-Repositories verbreitet wird. Die Angreifer nutzen dafür kompromittierte Entwicklerkonten.
Die Malware ChocoPoC wird nicht direkt in Proof-of-Concept-Dateien auf GitHub hinterlegt, sondern über ein mehrstufiges Abhängigkeitssystem eingespielt. Angreifer haben das Python-Paket „frint“ in die Projektabhängigkeiten eingefügt. Beim Klonen des Repositories wird dieses manipulierte Paket automatisch von PyPI nachgeladen und installiert seinerseits die weitere Abhängigkeit „skytext“. Diese enthält eine kompilierte Python-Erweiterung, die beim Ausführen des Exploits Code entschlüsselt, welcher einen Downloader aktiviert. Dieser Downloader lädt die finale ChocoPoC-Malware von einem Datensatz des Anbieters Mapbox ab.
Sekoia hat mindestens sieben manipulierte Repositories identifiziert, die sich als legitime Exploits für Schwachstellen tarnen: Fortinet, PAN-OS, Ivanti, Check Point, Joomla, MongoBleed und React2Shell. Das Paket skytext wurde etwa 2400 Mal heruntergeladen, überwiegend auf Linux-Systemen. Die Download-Spitzen korrespondierten mit der öffentlichen Veröffentlichung von Details zu den entsprechenden Sicherheitslücken.
Der Trojaner bietet umfangreiche Spionagefunktionen: Ausführung beliebiger Shell-Befehle und Python-Code, Upload von Dateien und Verzeichnissen, Auflistung von Systemprozessen. ChocoPoC durchsucht das System nach Textdateien, Dokumentationen und Datenbanken, sammelt Netzwerkkonfigurationen, Befehlszeilenhistorie sowie aus Browsern gespeicherte Passwörter, Cookies und Browsing-Verlauf.
Die Forscher stellten fest, dass Zugangsdaten der beteiligten Entwickler-E-Mail-Adressen in geleakten Datenbanken oder in Systemen befallener Infostealer auffindbar waren. Sekoia geht davon aus, dass der Angreifer in erster Linie kompromittierte Konten genutzt hat, um bösartige PyPI-Pakete und PoCs zu veröffentlichen. Frühere, ähnliche Komponenten liefen unter den Namen slogsec und logcrypt.cryptography.
Sicherheitsforscher sollten unüberprüfte Repositories grundsätzlich nur in isolierten Umgebungen ausführen, um das Risiko einer Systemkompromittierung zu minimieren.
Quelle: www.it-daily.net · Erschienen 5. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.