Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · sikkerhet

ChocoPoC-trojaner gjemmer seg i falske PoC-er og stjeler fra sikkerhetsforskere

SYNOPSIS_GENERERT

Trojaneren ChocoPoC gjemmer seg i Python-avhengighetene til falske exploit-PoC-er på GitHub og stjeler passord, cookies og filer fra sikkerhetsforskere som kjører dem.

«Skadevaren i seg selv er gammelt nytt. Det som endrer seg, er leveringsmekanismen.» Slik oppsummerer YesWeHack og Sekoia funnet de publiserte 1. juli: ChocoPoC, en remote access-trojaner som reiser i falske proof-of-concept-repos på GitHub. Repoene lover kode som utnytter ferske CVE-er, og som på rapporttidspunktet fortsatt lå live sammen med serverne sine.

Trikset er hvor koden ligger. Selve PoC-en du leser, ser ren ut. Skadevaren skjuler seg i et Python-avhengighet PoC-en drar inn: pip install henter pakken frint, som igjen drar med seg skytext. Den siste leverer en kompilert fil (gradient.so på Linux, gradient.pyd på Windows) som kjører idet du starter PoC-en, men bare når den ser en ekte PoC-fil lastet. Kjører du pakken alene i en sandkasse, sover den, og sandkassen ser ingenting.

YesWeHack og Sekoia fant minst sju falske repos, hvert knyttet til et høyprofilert hull som FortiWeb-, PAN-OS- og Check Point-VPN-sårbarheter. Pakken skytext alene ble lastet ned rundt 2 400 ganger, mest på Linux, med topper rett etter at store CVE-er ble kjent. For kontroll gjemmer trojaneren ordrene sine i et Mapbox-datasett og bruker domain fronting, så trafikken ser ut som vanlige Mapbox-API-kall.

Sikkerhetsforskere er et rikt mål: de kjører utrygg kode som en del av jobben, ofte med høye privilegier, og maskinene deres rommer klientnøkler og detaljer om pågående oppdrag. Sekoia advarer om et dobbelt supply chain-treff: forgifter du én forsker som leverer deteksjoner til rammeverk som Nuclei, kan den skadelige koden ri videre inn til tusenvis som stoler på dem.

Hva bør du gjøre?

  1. Behandle enhver PoC som fiendtlig til det motsatte er bevist, og hold deg unna kode fra helt nye eller ukjente kontoer.
  1. Les hele avhengighetskjeden, ikke bare PoC-filen. Se etter nypubliserte pakker og ukjente vedlikeholdere.
  2. Sjekk systemene dine for frint, skytext, slogsec og logcrypt.cryptography. Kjørte du noen av dem, roter nøkler og bygg om maskinen.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN