Cảnh báo: Mã độc ChocoPoC ẩn mình trong các mã khai thác (PoC) giả mạo trên GitHub
Các nhà nghiên cứu bảo mật đang trở thành mục tiêu của chiến dịch phát tán mã độc ChocoPoC thông qua các kho lưu trữ PoC giả mạo trên GitHub, lợi dụng sự vội vã khi phân tích các lỗ hổng CVE...
Một chiến dịch tấn công tinh vi đang nhắm trực tiếp vào các chuyên gia nghiên cứu bảo mật bằng cách sử dụng các mã khai thác (PoC) giả mạo. Mã độc có tên ChocoPoC được ngụy trang dưới dạng các kho lưu trữ Python trên GitHub, hứa hẹn cung cấp công cụ khai thác cho các lỗ hổng CVE mới nhất.
Table Of Content
Phương thức lây nhiễm tinh vi
Thay vì nhúng mã độc trực tiếp vào file PoC chính (vốn dễ bị phát hiện qua kiểm tra code), kẻ tấn công đã giấu mã độc vào một gói phụ thuộc (dependency) mà PoC sẽ tự động tải về. Cụ thể, khi người dùng chạy lệnh pip install, hệ thống sẽ kéo theo gói frint, sau đó là skytext. Gói skytext chứa các file thực thi (gradient.so hoặc gradient.pyd) được kích hoạt ngay khi PoC khởi chạy.
Điểm đáng chú ý là mã độc này có cơ chế “ngủ đông”: nó chỉ kích hoạt khi phát hiện file PoC thực sự đang chạy (ví dụ: EXPLOIT_POC.py). Điều này giúp nó dễ dàng vượt qua các môi trường sandbox hoặc phân tích tự động vốn không thực thi đầy đủ toàn bộ chuỗi dependency.
Khả năng của ChocoPoC
Sau khi xâm nhập, ChocoPoC hoạt động như một Remote Access Trojan (RAT) toàn diện với các khả năng:
- Đánh cắp mật khẩu, cookie, lịch sử duyệt web từ Chrome, Brave, Edge và Firefox.
- Thu thập file văn bản, cơ sở dữ liệu cục bộ, lịch sử shell và cấu hình mạng.
- Cho phép kẻ tấn công thực thi lệnh shell từ xa, chạy mã Python tùy ý và trích xuất dữ liệu.
Để tránh bị phát hiện, mã độc sử dụng dịch vụ Mapbox làm kênh trung gian (dead drop) để nhận lệnh thông qua DNS-over-HTTPS, khiến lưu lượng truy cập trông giống như các yêu cầu API thông thường.
Danh sách các lỗ hổng bị lợi dụng
Các nhà nghiên cứu từ YesWeHack và Sekoia đã xác định ít nhất 7 kho lưu trữ PoC giả mạo liên quan đến các lỗ hổng nghiêm trọng như:
- FortiWeb path traversal (CVE-2025-64446)
- React2Shell (CVE-2025-55182)
- MongoBleed (CVE-2025-14847)
- PAN-OS auth bypass (CVE-2026-0257)
- Ivanti Sentry command injection (CVE-2026-10520)
- Check Point VPN auth bypass (CVE-2026-50751)
- Joomla SP Page Builder RCE (CVE-2026-48908)
Khuyến nghị bảo mật
Để tự bảo vệ, các chuyên gia cần lưu ý:
- Luôn cảnh giác: Coi mọi PoC từ các tài khoản lạ là mã độc cho đến khi được kiểm chứng.
- Kiểm tra kỹ dependency: Không chỉ kiểm tra file PoC chính, hãy rà soát toàn bộ chuỗi phụ thuộc, đặc biệt là các gói mới hoặc từ nhà phát triển không rõ danh tính.
- Cách ly môi trường: Sử dụng máy ảo (VM) để kiểm thử, nhưng lưu ý rằng cách ly không phải là giải pháp triệt để nếu mã độc có cơ chế kiểm tra môi trường.
- Rà soát hệ thống: Kiểm tra sự tồn tại của các gói
frint,skytext,slogsecvàlogcrypt.cryptography. Nếu phát hiện, hãy thực hiện thay đổi toàn bộ thông tin đăng nhập và cài đặt lại hệ thống.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.