Skip to content

ChocoPoC: pahavara levib GitHubi sõltuvuste kaudu

Lühidalt: ChocoPoC levib manipuleeritud Pythoni pakettide kaudu näiliselt legitiimsetes GitHubi ärakasutuskoodides ning saab mitme sõltuvustaseme kaudu juurdepääsu nakatunud süsteemidele.

Sekoia turvateadlased on dokumenteerinud sihitud kampaania analüütikute ja läbistustestijate vastu, mille käigus levitatakse Pythonil põhinevat kaugjuurdepääsu trooja programmi GitHubi hoidlate manipuleeritud paketisõltuvuste kaudu. Ründajad kasutavad selleks kompromiteeritud arendajakontosid.

Pahavara ChocoPoC ei paikne otse GitHubi kontseptsiooni tõestamise (PoC) failides, vaid see laaditakse alla mitmeastmelise sõltuvussüsteemi kaudu. Ründajad on lisanud projekti sõltuvuste hulka Pythoni paketi „frint”. Hoidla kloonimisel laaditakse see manipuleeritud pakett automaatselt alla PyPI-st ning see paigaldab omakorda järgmise sõltuvuse „skytext”. See sisaldab kompileeritud Pythoni laiendust, mis ärakasutuskoodi käivitamisel dekrüpteerib koodi, mis omakorda aktiveerib allalaadija. See allalaadija tõmbab lõpliku ChocoPoC pahavara alla teenusepakkuja Mapbox andmestikust.

Sekoia tuvastas vähemalt seitse manipuleeritud hoidlat, mis esinevad legitiimsete haavatavuste ärakasutuskoodidena: Fortinet, PAN-OS, Ivanti, Check Point, Joomla, MongoBleed ja React2Shell. Paketti skytext laaditi alla ligikaudu 2400 korda, valdavalt Linuxi süsteemidesse. Allalaadimiste tipud langesid kokku vastavate turvaaukude üksikasjade avalikustamisega.

Trooja pakub laiaulatuslikke luurefunktsioone: suvaliste kestukäskude ja Pythoni koodi käivitamine, failide ja kataloogide üleslaadimine, süsteemiprotsesside loetlemine. ChocoPoC otsib süsteemist tekstifaile, dokumentatsiooni ja andmebaase, kogub võrgukonfiguratsioone, käsurea ajalugu ning brauserites salvestatud paroole, küpsiseid ja sirvimisajalugu.

Teadlased tuvastasid, et asjaosaliste arendajate e-posti aadresside andmed olid leitavad lekkinud andmebaasidest või nakatunud infovarguse (infostealer) süsteemidest. Sekoia hinnangul on ründaja peamiselt kasutanud kompromiteeritud kontosid pahatahtlike PyPI pakettide ja PoC-de avaldamiseks. Varasemad sarnased komponendid tegutsesid nimede slogsec ja logcrypt.cryptography all.

Turvateadlased peaksid põhimõtteliselt käivitama kontrollimata hoidlaid ainult isoleeritud keskkondades, et minimeerida süsteemi kompromiteerimise riski.


Allikas: www.it-daily.net · Avaldatud 5. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.

Share on: