TeknoFiber Logo
Son Dakika
Yeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini TaşıyorYeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini TaşıyorYeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini Taşıyor
Siber Güvenlik

Yeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef Alıyor

ChocoPoC adındaki yeni kötü amaçlı yazılım, GitHub'da bulunan trojanize PoC istismarları aracılığıyla siber güvenlik araştırmacılarını hedef alıyor.

Burak ArslanBurak Arslan·
Yeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef Alıyor
Paylaş:

Son dönemde, GitHub üzerinde bulunan pek çok silahlandırılmış proof-of-concept (PoC) istismarının, ChocoPoC adındaki Python tabanlı uzaktan erişim trojanı (RAT) dağıttığı tespit edildi. Bu yazılım, komutlar çalıştırabilmekte ve hassas verileri çalabilmektedir. Araştırmalar, bu kampanyanın siber güvenlik araştırmacılarını hedef aldığını göstermektedir.

Kötü amaçlı yazılımların PoC istismarları içinde gizlenmesi yeni bir olgu değil. Daha önce de gerçek güvenlik araştırmacıları gibi davranan tehdit aktörlerinin, güncel güvenlik açıklarını kullanarak güvenlik açığı ve penetrasyon testleri yapanları ya da düşük becerilere sahip hackerları hedef aldığı örnekler bulunmaktadır. Ancak ChocoPoC, kötü amaçlı yazılımı doğrudan istismar dosyasına gömmek yerine, PoC'nin bağımlılık listesine zararlı Python paketleri ekleyerek dikkat çekiyor.

Sekoia adlı siber güvenlik şirketinin araştırmacılarına göre, bu paketler Python Geliştirici Paketleri Endeksi (PyPI) üzerinde barındırılmaktadır. Bu platform, Python geliştiricilerinin kod kaynaklarını bulup paylaşmaları için kullandıkları bir alan.

Bir kurban kötü amaçlı bir depoyu klonladığında, otomatik olarak 'frint' adındaki trojanize paket sistemlerine indirilir ve kurulur. Kurulum sırasında, 'skytext' adındaki kötü amaçlı bağımlılık paketi indirilir. Bu paket, derlenmiş bir yerel Python uzantısını içermektedir. PoC çalıştırıldığında, bu uzantı otomatik olarak devreye girer ve ekli Python kodunu deşifre ederek, ChocoPoC'yu Mapbox veri setinden indiren bir yükleyiciyi tetikler.

ChocoPoC'nun Yetenekleri

ChocoPoC RAT, birçok yeteneğe sahiptir. Mapbox veri setleri, veri sızıntıları için de kötüye kullanılmakta, ancak daha büyük dosya yüklemeleri ayrı bir HTTP sunucusu üzerinden yönetilmektedir. Sekoia, GitHub üzerinde ChocoPoC'yu dağıtan ve FortiWeb, React2Shell, MongoBleed, PAN-OS, Ivanti Sentry, Check Point VPN ve Joomla SP Page Builder gibi istismarları barındıran en az yedi PoC deposunu tespit etti.

Araştırmacılar, skytext'in çoğunlukla Linux tabanlı sistemlerde olmak üzere toplamda 2,400 kez indirildiğini buldu. İndirme sayısının artışı, popüler bir güvenlik açığının açıklanmasının ardından gerçekleşti ve bu durum, dikkatsiz araştırmacıları bu depolardan PoC'leri indirmeye ve test etmeye yönlendiren bir tuzak görevi gördü.

Sekoia, frint ve skytext'ten önce, kampanyanın 'slogsec' ve 'logcrypt.cryptography' adındaki iki farklı paketi kullandığını ve benzer kaynak koduna sahip olduğunu belirtti. Bu paketler de aynı ChocoPoC yükünü dağıtmaktaydı. Kampanyanın arkasında kimin olduğu belirsizliğini korusa da, araştırmacılar, 2025'in sonlarında başka bir PoC istismarına bağlı GitHub katılımcılarıyla ilişkili birkaç e-posta adresi buldu.

Sekoia, kampanyalarda kullanılan iki e-posta adresinin sızıntı veritabanlarında yer aldığını, diğer birinin ise "bilgi hırsızı" bir saldırıdan kaynaklandığını belirtti. Araştırmacılar, "Bu bulgulara dayanarak, saldırganların esas olarak kötü amaçlı PyPI paketleri ve PoC'leri yayımlamak için ele geçirilmiş hesaplar kullandığını yüksek bir güvenle değerlendirmekteyiz," dedi.

Öneriler ve Uyarılar

Araştırmacılar, yeni kötü amaçlı yazılım dağıtım tekniğinin, istismarı sağlam tutarak zararlı davranışların zararsız görünen paketlere atanmasına olanak sağladığını vurguluyor. Güvenlik açığı ve penetrasyon testleri yapan kişilerin, sıklıkla kötü ya da güvenilir olmayan kodlar çalıştırdıkları için dikkatli olmaları ve GitHub depolarına körü körüne güvenmemeleri önerilmektedir. Sadece doğrulanmamış kodları izole ortamlar içinde çalıştırmaları tavsiye edilmektedir.

Burak Arslan

Yazar: Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.

Tüm yazılarını gör

İlgili Haberler

Siber Güvenlik kategorisindeki diğer haberler

Son Haberler

Burak Arslan

Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Bu yazarın diğer yazıları:

📧

Teknoloji haberlerini kaçırma!

Her gün en önemli gelişmeleri e-postana gönderelim.