🍫 Троян ChocoPoC атакує кібердослідників через підроблені експлуатації

Компанії YesWeHack та Sekoia виявили троян ChocoPoC, спрямований на фахівців із безпеки. Хакери поширюють його через фейкові репозиторії на GitHub, що нібито містять коди експлуатації для свіжих вразливостей Fortinet, Palo Alto, Ivanti та Check Point. Шкідливий код сховано всередині залежностей: під час встановлення вимог скрипту завантажуються пакети frint та skytext, через що сам файл PoC при поверхневій перевірці виглядає чистим.

Пакет skytext містить скомпільовану бібліотеку, яка запускається лише при виявленні процесу виконання експлуатації, обходячи стандартні пісочниці. ChocoPoC викрадає паролі, файли cookie, історію браузерів Chrome, Firefox, Edge, а також історію терміналу. Для зв’язку з оператором вірус використовує легітимний сервіс Mapbox як точку передачі команд через DNS-over-HTTPS, маснуючи трафік під звичайні запити до API.