Hack Alerta

Novo RAT ChocoPoC visa pesquisadores de vulnerabilidades via repositórios de PoC falsos

Novo RAT ChocoPoC ataca pesquisadores de segurança via repositórios GitHub falsos. Entenda a campanha e como proteger ambientes de teste.

Descoberta e escopo da ameaça

Atacantes estão escondendo um trojano de roubo de dados dentro de código de exploração falso destinado às pessoas que caçam bugs para viver. O malware, chamado ChocoPoC, viaja em repositórios de prova de conceito (PoC) do Python no GitHub que afirmam explorar novas CVEs quentes. A campanha foi identificada por pesquisadores de segurança que monitoram repositórios de código aberto para atividades maliciosas.

Se executado, o malware levanta silenciosamente suas senhas salvas, cookies do navegador e arquivos, e depois entrega um shell ao atacante na máquina da vítima. Esta técnica explora a confiança de pesquisadores de segurança e desenvolvedores que buscam validar vulnerabilidades em ferramentas de teste.

Vetor de ataque e engenharia social

O ChocoPoC utiliza a engenharia social para enganar pesquisadores de vulnerabilidades que procuram por códigos de exploração em repositórios públicos. Ao se disfarçar como um PoC legítimo, o malware se beneficia da curiosidade e da necessidade de validar descobertas de segurança.

Os repositórios afetados no GitHub contêm scripts Python que, ao serem executados, não apenas exploram a vulnerabilidade alvo, mas também estabelecem uma conexão de comando e controle (C2) com servidores remotos controlados pelos atacantes.

Capacidades do malware

Além do roubo de credenciais e dados locais, o ChocoPoC fornece ao atacante um shell remoto na máquina comprometida. Isso permite a execução de comandos arbitrários, movimentação lateral e potencialmente a instalação de outros malwares ou backdoors persistentes.

A natureza do malware como RAT (Remote Access Trojan) o torna particularmente perigoso para pesquisadores que podem inadvertidamente comprometer seus próprios ambientes de teste ou redes corporativas ao executar códigos não verificados.

Impacto na comunidade de segurança

Este ataque visa diretamente a comunidade de pesquisadores de segurança, que são ativos valiosos para a defesa cibernética global. Ao comprometer esses profissionais, os atacantes podem obter acesso a informações sensíveis sobre vulnerabilidades não divulgadas ou ferramentas de teste proprietárias.

A campanha também destaca o risco de dependência de repositórios de código aberto sem verificação adequada de integridade. A confiança cega em PoC públicos pode levar à infecção de ambientes de pesquisa e desenvolvimento.

Medidas de mitigação recomendadas

1. Verifique a integridade de qualquer código PoC antes de executá-lo em ambientes de produção ou de pesquisa.

2. Utilize ambientes isolados (sandbox) para testar códigos de exploração suspeitos.

3. Monitore tráfego de rede para conexões C2 incomuns originadas de máquinas de pesquisa.

4. Eduque a equipe sobre os riscos de executar códigos de fontes não verificadas no GitHub.

Indicadores de comprometimento (IOCs)

Organizações devem procurar por scripts Python em repositórios GitHub que contenham chamadas de rede não documentadas, conexões a IPs suspeitos ou comportamentos de execução de shell não autorizados. A análise estática e dinâmica de códigos de PoC deve ser parte do processo de validação de segurança.

O que os CISOs devem fazer imediatamente

1. Revisar políticas de uso de código de terceiros e PoC públicos.

2. Implementar controles de execução de scripts para prevenir execução não autorizada.

3. Monitorar repositórios de código aberto para atividades maliciosas relacionadas a CVEs recentes.

4. Garantir que ambientes de pesquisa estejam segmentados da rede corporativa principal.


Baseado em publicação original de The Hacker News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.