ChocoPoC adlı yeni zararlı yazılım, GitHub'daki sahte PoC kodlarıyla siber güvenlik araştırmacılarını hedef alıyor
Sekoia ve YesWeHack araştırmacıları, GitHub'da paylaşılan bazı güvenlik açığı ispat kodlarının (PoC) Python tabanlı ChocoPoC adlı uzaktan erişim truva atını (RAT) dağıttığını ortaya çıkardı. Zararlı yazılımın, özellikle güvenlik araştırmacıları, sızma testi uzmanları ve güvenlik açığı analizleri yapan kullanıcıları hedef aldığı değerlendiriliyor.
Siber güvenlik şirketleri Sekoia ve YesWeHack, GitHub'da paylaşılan bazı proof-of-concept (PoC) güvenlik açığı kodlarının, ChocoPoC isimli Python tabanlı bir uzaktan erişim truva atını (RAT) dağıttığını tespit etti. Araştırmacılar, kampanyanın başlıca hedefinin siber güvenlik araştırmacıları ile sızma testi uzmanları olduğunu belirtti.
Araştırmaya göre saldırganlar, zararlı yazılımı doğrudan PoC kodunun içerisine yerleştirmek yerine, projenin bağımlılık listesine zararlı Python paketleri ekleyerek tespit edilmesini zorlaştırıyor.
Zararlı paketler PyPI üzerinden dağıtılıyor
Araştırmacılar, zararlı paketlerin Python geliştiricilerinin yaygın olarak kullandığı Python Package Index (PyPI) platformunda barındırıldığını açıkladı.
Kurban sahte GitHub deposunu kopyaladığında (clone), "frint" isimli trojanlaştırılmış paket otomatik olarak sisteme indiriliyor ve kuruluyor.
Kurulum sırasında bu paket, içerisinde derlenmiş yerel Python uzantısı bulunan "skytext" adlı ikinci bir zararlı bağımlılığı yüklüyor. PoC çalıştırıldığında söz konusu uzantı otomatik olarak devreye girerek şifrelenmiş Python kodunu çözüyor ve son aşamada Mapbox veri kümesi üzerinden ChocoPoC zararlı yazılımını indiriyor.
Tarayıcı parolalarından komut çalıştırmaya kadar geniş yeteneklere sahip
Araştırmacılar, ChocoPoC RAT'ın ele geçirilen sistemlerde çok sayıda kötü amaçlı işlem gerçekleştirebildiğini belirtti.
Buna göre zararlı yazılım;
- Rastgele sistem komutları ve Python kodları çalıştırabiliyor.
- Dosya ve klasör yükleyebiliyor.
- Tarayıcılardaki parolaları, çerezleri, otomatik doldurma verilerini ve gezinme geçmişini çalabiliyor.
- Metin dosyalarını, Markdown belgelerini ve veritabanı dosyalarını arayabiliyor.
- Kabuk (shell) geçmişini toplayabiliyor.
- Ağ yapılandırmasını ve çalışan süreçleri analiz edebiliyor.
Araştırmacılar, veri sızdırmak için Mapbox veri kümelerinin de kullanıldığını, daha büyük dosyaların ise ayrı HTTP sunucuları üzerinden gönderildiğini bildirdi.
En az yedi sahte PoC deposu tespit edildi
Sekoia, şimdiye kadar GitHub'da en az yedi farklı PoC deposunun ChocoPoC dağıttığını belirledi.
Bu depolarda FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) ve Joomla SP Page Builder (CVE-2026-48908) güvenlik açıklarına ait olduğu iddia edilen PoC kodları yer aldı.
Araştırmacılar ayrıca skytext paketinin büyük bölümü Linux sistemlerinden olmak üzere 2 bin 400 kez indirildiğini tespit etti. İndirme sayılarının, kamuoyunda ilgi gören yeni güvenlik açıklarının duyurulmasının ardından belirgin şekilde arttığı kaydedildi.
Saldırganların ele geçirilmiş hesapları kullandığı değerlendiriliyor
Sekoia, kampanyanın daha önce "slogsec" ve "logcrypt.cryptography" isimli benzer zararlı paketleri de kullandığını ve bunların da aynı ChocoPoC yükünü dağıttığını belirtti.
Araştırmacılar, kampanyanın arkasındaki grubun kimliğinin kesin olarak belirlenemediğini ancak GitHub'daki bazı geliştirici hesaplarının 2025 yılındaki benzer PoC zehirleme faaliyetleriyle bağlantılı olduğunu tespit etti.
Raporda, kullanılan e-posta adreslerinden ikisine ait kimlik bilgilerinin veri sızıntılarında bulunduğu, bir diğer hesabın ise bilgi hırsızı (infostealer) zararlı yazılımı nedeniyle ele geçirilmiş olmasının yüksek olasılık olduğu ifade edildi.
Sekoia, "Elde ettiğimiz bulgular doğrultusunda saldırganın zararlı PyPI paketlerini ve PoC depolarını yayımlamak için ağırlıklı olarak ele geçirilmiş hesapları kullandığını yüksek güvenle değerlendiriyoruz." açıklamasını yaptı.
Araştırmacılar, güvenlik uzmanlarının GitHub üzerindeki PoC kodlarına koşulsuz güvenmemesi ve doğrulanmamış kodları yalnızca izole test ortamlarında çalıştırması gerektiği uyarısında bulundu.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0