Yeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef Alıyor
ChocoPoC adındaki yeni kötü amaçlı yazılım, GitHub'da bulunan trojanize PoC istismarları aracılığıyla siber güvenlik araştırmacılarını hedef alıyor.
Son dönemde, GitHub üzerinde bulunan pek çok silahlandırılmış proof-of-concept (PoC) istismarının, ChocoPoC adındaki Python tabanlı uzaktan erişim trojanı (RAT) dağıttığı tespit edildi. Bu yazılım, komutlar çalıştırabilmekte ve hassas verileri çalabilmektedir. Araştırmalar, bu kampanyanın siber güvenlik araştırmacılarını hedef aldığını göstermektedir.
Kötü amaçlı yazılımların PoC istismarları içinde gizlenmesi yeni bir olgu değil. Daha önce de gerçek güvenlik araştırmacıları gibi davranan tehdit aktörlerinin, güncel güvenlik açıklarını kullanarak güvenlik açığı ve penetrasyon testleri yapanları ya da düşük becerilere sahip hackerları hedef aldığı örnekler bulunmaktadır. Ancak ChocoPoC, kötü amaçlı yazılımı doğrudan istismar dosyasına gömmek yerine, PoC'nin bağımlılık listesine zararlı Python paketleri ekleyerek dikkat çekiyor.
Sekoia adlı siber güvenlik şirketinin araştırmacılarına göre, bu paketler Python Geliştirici Paketleri Endeksi (PyPI) üzerinde barındırılmaktadır. Bu platform, Python geliştiricilerinin kod kaynaklarını bulup paylaşmaları için kullandıkları bir alan.
Bir kurban kötü amaçlı bir depoyu klonladığında, otomatik olarak 'frint' adındaki trojanize paket sistemlerine indirilir ve kurulur. Kurulum sırasında, 'skytext' adındaki kötü amaçlı bağımlılık paketi indirilir. Bu paket, derlenmiş bir yerel Python uzantısını içermektedir. PoC çalıştırıldığında, bu uzantı otomatik olarak devreye girer ve ekli Python kodunu deşifre ederek, ChocoPoC'yu Mapbox veri setinden indiren bir yükleyiciyi tetikler.
ChocoPoC'nun Yetenekleri
ChocoPoC RAT, birçok yeteneğe sahiptir. Mapbox veri setleri, veri sızıntıları için de kötüye kullanılmakta, ancak daha büyük dosya yüklemeleri ayrı bir HTTP sunucusu üzerinden yönetilmektedir. Sekoia, GitHub üzerinde ChocoPoC'yu dağıtan ve FortiWeb, React2Shell, MongoBleed, PAN-OS, Ivanti Sentry, Check Point VPN ve Joomla SP Page Builder gibi istismarları barındıran en az yedi PoC deposunu tespit etti.
Araştırmacılar, skytext'in çoğunlukla Linux tabanlı sistemlerde olmak üzere toplamda 2,400 kez indirildiğini buldu. İndirme sayısının artışı, popüler bir güvenlik açığının açıklanmasının ardından gerçekleşti ve bu durum, dikkatsiz araştırmacıları bu depolardan PoC'leri indirmeye ve test etmeye yönlendiren bir tuzak görevi gördü.
Sekoia, frint ve skytext'ten önce, kampanyanın 'slogsec' ve 'logcrypt.cryptography' adındaki iki farklı paketi kullandığını ve benzer kaynak koduna sahip olduğunu belirtti. Bu paketler de aynı ChocoPoC yükünü dağıtmaktaydı. Kampanyanın arkasında kimin olduğu belirsizliğini korusa da, araştırmacılar, 2025'in sonlarında başka bir PoC istismarına bağlı GitHub katılımcılarıyla ilişkili birkaç e-posta adresi buldu.
Sekoia, kampanyalarda kullanılan iki e-posta adresinin sızıntı veritabanlarında yer aldığını, diğer birinin ise "bilgi hırsızı" bir saldırıdan kaynaklandığını belirtti. Araştırmacılar, "Bu bulgulara dayanarak, saldırganların esas olarak kötü amaçlı PyPI paketleri ve PoC'leri yayımlamak için ele geçirilmiş hesaplar kullandığını yüksek bir güvenle değerlendirmekteyiz," dedi.
Öneriler ve Uyarılar
Araştırmacılar, yeni kötü amaçlı yazılım dağıtım tekniğinin, istismarı sağlam tutarak zararlı davranışların zararsız görünen paketlere atanmasına olanak sağladığını vurguluyor. Güvenlik açığı ve penetrasyon testleri yapan kişilerin, sıklıkla kötü ya da güvenilir olmayan kodlar çalıştırdıkları için dikkatli olmaları ve GitHub depolarına körü körüne güvenmemeleri önerilmektedir. Sadece doğrulanmamış kodları izole ortamlar içinde çalıştırmaları tavsiye edilmektedir.
Yazar: Burak Arslan
Siber Güvenlik ve Donanım Uzmanı
Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.
Tüm yazılarını gör

