Malware ChocoPoC ataca pesquisadores de cibersegurança via GitHub
Pesquisadores de segurança identificaram uma nova campanha de malware que utiliza exploits de prova de conceito (PoC) no GitHub para disseminar um trojan de acesso remoto (RAT) chamado ChocoPoC. Este malware se destaca por não estar embutido diretamente nos arquivos de exploit, mas sim por meio de pacotes Python maliciosos adicionados à lista de dependências do PoC. Os pacotes, hospedados no Python Package Index (PyPI), são instalados automaticamente quando a vítima clona um repositório malicioso. O ChocoPoC é capaz de executar comandos arbitrários, coletar dados sensíveis como senhas de navegadores e histórico de navegação, e até mesmo exfiltrar dados através de conjuntos de dados do Mapbox. A campanha já foi associada a pelo menos sete repositórios no GitHub, explorando vulnerabilidades conhecidas. A instalação do pacote malicioso ‘frint’ puxa uma dependência adicional chamada ‘skytext’, que contém um código Python embutido que baixa o payload final. Com mais de 2.400 downloads, a maioria em sistemas Linux, a campanha se aproveita da curiosidade de pesquisadores e testadores de segurança. Especialistas recomendam que esses profissionais nunca confiem cegamente em repositórios do GitHub e executem códigos não verificados em ambientes isolados.
