← Voltar ao blog

ChocoPoC RAT Disfarçado como Exploits CVE Falsos Ataca Pesquisadores de Segurança

Um novo trojan de acesso remoto chamado ChocoPoC está sendo distribuído através de repositórios fraudulentos de proof-of-concept no GitHub, visando especificamente pesquisadores de vulnerabilidades e profissionais de segurança. O malware rouba credenciais, dados do navegador e estabelece acesso persistente ao sistema quando executado.

TL;DR

  • ChocoPoC RAT escondido em repositórios GitHub PoC falsos afirmando explorar CVEs recentes
  • Visa pesquisadores de vulnerabilidades e profissionais de segurança que testam exploits
  • Exfiltra senhas, cookies, arquivos e estabelece acesso via shell reverso
  • Destaca risco de cadeia de suprimentos em pesquisa de segurança e comunidades de código aberto
  • Pesquisadores devem verificar fontes de exploits e usar ambientes isolados para testes

Atacantes estão aproveitando a confiança que pesquisadores de segurança depositam em código de proof-of-concept distribuindo um trojan de acesso remoto sofisticado através de repositórios fraudulentos no GitHub. O malware, denominado ChocoPoC, é empacotado como exploits funcionais para vulnerabilidades recentemente divulgadas, tornando-o particularmente atraente para profissionais que precisam validar ameaças emergentes.

Quando executado, ChocoPoC opera silenciosamente em segundo plano, coletando dados sensíveis incluindo senhas salvas, cookies do navegador e arquivos locais enquanto simultaneamente estabelece um shell reverso que concede aos atacantes execução direta de comandos na máquina da vítima. Este padrão de ataque representa uma vulnerabilidade crítica de cadeia de suprimentos no próprio ecossistema de pesquisa de segurança.

Vetor de Ataque e Distribuição

  • Malware distribuído através de repositórios GitHub falsos imitando projetos PoC legítimos
  • Repositórios afirmam conter exploits funcionais para CVEs atuais para atrair pesquisadores
  • Implementação baseada em Python permite execução multiplataforma em Windows, macOS e Linux
  • Visa o fluxo de trabalho específico de pesquisadores de vulnerabilidades que testam exploits em seus ambientes

Capacidades e Roubo de Dados

  • Exfiltra senhas armazenados e credenciais de autenticação de navegadores e gerenciadores de senhas
  • Coleta cookies do navegador contendo tokens de sessão e dados de autenticação
  • Coleta arquivos de diretórios de usuários para espionagem ou exploração adicional
  • Estabelece shell reverso persistente para acesso remoto contínuo e execução de comandos
  • Opera com visibilidade mínima do usuário após a execução inicial

Recomendações Defensivas

  • Verifique a autenticidade do repositório de exploits através de avisos de segurança oficiais e fontes confiáveis
  • Execute código PoC não confiável apenas em máquinas virtuais isoladas ou ambientes em sandbox
  • Revise o código antes da execução, verificando particularmente importações suspeitas ou chamadas de rede
  • Implemente segmentação de rede para limitar movimento lateral se a máquina de um pesquisador for comprometida
  • Monitore conexões de saída incomuns de sistemas de desenvolvimento e teste

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

ChocoPoC RAT Disfarçado como Exploits CVE Falsos Ataca Pesquisadores de Segurança — Agent Breach Blog | Agent Breach