Malware ChocoPoC se Disfarça de Exploits Falsos para Atacar Pesquisadores de Segurança
Uma nova campanha maliciosa está visando pesquisadores de segurança cibernética, distribuindo exploits falsos no GitHub que instalam o RAT ChocoPoC. Este malware rouba credenciais e dados de navegadores, além de fornecer acesso remoto às máquinas comprometidas.
MundiX News·11 de julho de 2026·6 min de leitura·👁 1 views
Pesquisadores da YesWeHack e Sekoia identificaram uma campanha de malware sofisticada que tem como alvo a comunidade de segurança da informação. Os atacantes estão publicando no GitHub supostos Proofs of Concept (PoC) de exploits para vulnerabilidades recém-descobertas. No entanto, ao serem executados, esses exploits instalam o Remote Access Trojan (RAT) conhecido como ChocoPoC no sistema da vítima. O ChocoPoC é projetado para roubar senhas, arquivos e dados armazenados em navegadores, além de conceder aos seus operadores acesso remoto irrestrito à máquina infectada.
Uma característica notável dessa campanha é que o código malicioso não está diretamente contido nos arquivos de exploit. Isso dificulta a detecção por meio de auditorias rápidas dos repositórios. O processo de infecção é iniciado quando um comando como pip install PoC é executado. Isso aciona o download de uma dependência chamada frint, que por sua vez baixa outro pacote, o skytext. Dentro deste último, encontra-se um módulo compilado (gradient.so para Linux ou gradient.pyd para Windows). Este módulo só é executado em conjunto com o PoC e procura por um arquivo chamado EXPLOIT_POC.py ou um nome similar. Uma vez encontrado, o payload é descompactado e o ChocoPoC é carregado. Essa arquitetura complexa impede que a análise em sandbox de pacotes maliciosos isolados revele a ameaça, pois o malware permanece inativo sem os outros componentes do repositório.
Uma vez instalado, o ChocoPoC opera como um trojan de acesso remoto completo. Ele é capaz de extrair senhas salvas, cookies, dados de preenchimento automático e histórico de navegadores populares como Chrome, Brave, Edge e Firefox. Além disso, o malware coleta arquivos de texto, notas, bancos de dados locais, histórico de comandos do terminal, configurações de rede e uma lista de processos em execução. Os operadores do ChocoPoC também têm a capacidade de executar comandos arbitrários e código Python, baixar diretórios inteiros e até mesmo pausar a atividade do malware para evitar detecção. A análise do código revelou que alguns nomes de comandos estão em espanhol e que existem pequenos erros no código, sugerindo que ele foi escrito manualmente em vez de gerado por inteligência artificial. Para gerenciar sua infraestrutura, o ChocoPoC utiliza um dataset no serviço de mapas Mapbox, onde os endereços dos servidores de comando e controle (C2) são ocultados. O malware obtém o endereço do servidor C2 via DNS-over-HTTPS e emprega técnicas de domain fronting, fazendo com que o tráfego pareça ser uma comunicação legítima com a API do Mapbox.
Os especialistas identificaram pelo menos sete repositórios falsos no GitHub que alegavam conter exploits para vulnerabilidades significativas, incluindo FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) e Joomla SP Page Builder (CVE-2026-48908). O pacote skytext, utilizado nessas campanhas, foi baixado aproximadamente 2.400 vezes, com a maioria dos downloads provenientes de sistemas Linux. Embora o número de downloads não se traduza diretamente em infecções, os picos de download coincidiram com a divulgação de informações sobre vulnerabilidades críticas. Acredita-se que esta campanha tenha começado no final de 2025, com os atacantes utilizando pacotes quase idênticos como slogsec e logcrypt.cryptography. A similaridade no código e nos marcadores da infraestrutura de comando e controle sugere fortemente que os mesmos operadores estão por trás de ambas as ondas de ataques. Os atacantes têm alterado regularmente suas contas no GitHub, PyPI e Mapbox, e é provável que algumas dessas contas tenham sido comprometidas ou criadas com dados roubados.
Em suas conclusões, a Sekoia aconselha os pesquisadores de segurança a tratarem qualquer PoC de exploit como potencialmente perigoso. É crucial verificar toda a cadeia de dependências e evitar pacotes publicados por contas desconhecidas ou recém-criadas. A execução de exploits, mesmo em máquinas virtuais, não garante a detecção do ChocoPoC, portanto, a instalação de dependências suspeitas deve ser evitada a todo custo. Recomenda-se também verificar os sistemas em busca de pacotes como frint, skytext, slogsec e logcrypt.cryptography. Se algum desses pacotes foi executado, os especialistas aconselham a troca imediata de credenciais e uma reinstalação completa do sistema operacional para garantir a remoção completa da ameaça.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da YesWeHack e Sekoia identificaram uma campanha de malware sofisticada que tem como alvo a comunidade de segurança da informação. Os atacantes estão publicando no GitHub supostos Proofs of Concept (PoC) de exploits para vulnerabilidades recém-descobertas. No entanto, ao serem executados, esses exploits instalam o Remote Access Trojan (RAT) conhecido como ChocoPoC no sistema da vítima. O ChocoPoC é projetado para roubar senhas, arquivos e dados armazenados em navegadores, além de conceder aos seus operadores acesso remoto irrestrito à máquina infectada.
Uma característica notável dessa campanha é que o código malicioso não está diretamente contido nos arquivos de exploit. Isso dificulta a detecção por meio de auditorias rápidas dos repositórios. O processo de infecção é iniciado quando um comando como pip install PoC é executado. Isso aciona o download de uma dependência chamada frint, que por sua vez baixa outro pacote, o skytext. Dentro deste último, encontra-se um módulo compilado (gradient.so para Linux ou gradient.pyd para Windows). Este módulo só é executado em conjunto com o PoC e procura por um arquivo chamado EXPLOIT_POC.py ou um nome similar. Uma vez encontrado, o payload é descompactado e o ChocoPoC é carregado. Essa arquitetura complexa impede que a análise em sandbox de pacotes maliciosos isolados revele a ameaça, pois o malware permanece inativo sem os outros componentes do repositório.
Uma vez instalado, o ChocoPoC opera como um trojan de acesso remoto completo. Ele é capaz de extrair senhas salvas, cookies, dados de preenchimento automático e histórico de navegadores populares como Chrome, Brave, Edge e Firefox. Além disso, o malware coleta arquivos de texto, notas, bancos de dados locais, histórico de comandos do terminal, configurações de rede e uma lista de processos em execução. Os operadores do ChocoPoC também têm a capacidade de executar comandos arbitrários e código Python, baixar diretórios inteiros e até mesmo pausar a atividade do malware para evitar detecção. A análise do código revelou que alguns nomes de comandos estão em espanhol e que existem pequenos erros no código, sugerindo que ele foi escrito manualmente em vez de gerado por inteligência artificial. Para gerenciar sua infraestrutura, o ChocoPoC utiliza um dataset no serviço de mapas Mapbox, onde os endereços dos servidores de comando e controle (C2) são ocultados. O malware obtém o endereço do servidor C2 via DNS-over-HTTPS e emprega técnicas de domain fronting, fazendo com que o tráfego pareça ser uma comunicação legítima com a API do Mapbox.
Os especialistas identificaram pelo menos sete repositórios falsos no GitHub que alegavam conter exploits para vulnerabilidades significativas, incluindo FortiWeb (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS (CVE-2026-0257), Ivanti Sentry (CVE-2026-10520), Check Point VPN (CVE-2026-50751) e Joomla SP Page Builder (CVE-2026-48908). O pacote skytext, utilizado nessas campanhas, foi baixado aproximadamente 2.400 vezes, com a maioria dos downloads provenientes de sistemas Linux. Embora o número de downloads não se traduza diretamente em infecções, os picos de download coincidiram com a divulgação de informações sobre vulnerabilidades críticas. Acredita-se que esta campanha tenha começado no final de 2025, com os atacantes utilizando pacotes quase idênticos como slogsec e logcrypt.cryptography. A similaridade no código e nos marcadores da infraestrutura de comando e controle sugere fortemente que os mesmos operadores estão por trás de ambas as ondas de ataques. Os atacantes têm alterado regularmente suas contas no GitHub, PyPI e Mapbox, e é provável que algumas dessas contas tenham sido comprometidas ou criadas com dados roubados.
Em suas conclusões, a Sekoia aconselha os pesquisadores de segurança a tratarem qualquer PoC de exploit como potencialmente perigoso. É crucial verificar toda a cadeia de dependências e evitar pacotes publicados por contas desconhecidas ou recém-criadas. A execução de exploits, mesmo em máquinas virtuais, não garante a detecção do ChocoPoC, portanto, a instalação de dependências suspeitas deve ser evitada a todo custo. Recomenda-se também verificar os sistemas em busca de pacotes como frint, skytext, slogsec e logcrypt.cryptography. Se algum desses pacotes foi executado, os especialistas aconselham a troca imediata de credenciais e uma reinstalação completa do sistema operacional para garantir a remoção completa da ameaça.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.