Angriffe auf Sicherheitsforscher

Neue Schadsoftware ChocoPoC nutzt GitHub aus

Github
Bildquelle: Primakov / Shutterstock.com

Die neue Malware ChocoPoC nimmt Sicherheitsforscher ins Visier. Angreifer verstecken den Schadcode in den Abhängigkeiten von GitHub-Exploits.

Sicherheitsforscher des Cybersicherheitsunternehmens Sekoia haben eine Kampagne identifiziert, die gezielt Analysten und Penetrationstester angreift. Dabei verbreiten die Täter einen auf Python basierenden Remote-Access-Trojaner namens ChocoPoC. Das Besondere an dieser Methode ist, dass der Schadcode nicht direkt in den Proof-of-Concept-Dateien auf GitHub hinterlegt ist.

Anzeige

Stattdessen haben die Angreifer schadhafte Python-Pakete in die Liste der Projektabhängigkeiten eingefügt. Sobald ein Nutzer das betroffene Repository klont, wird das manipulierte Paket namens frint automatisch von der offiziellen Plattform PyPI nachgeladen. Dieses Paket installiert daraufhin eine weitere Abhängigkeit namens skytext, die eine kompilierte Python-Erweiterung enthält. Beim Ausführen des Exploits entschlüsselt diese Erweiterung den Code für einen Downloader, welcher die endgültige ChocoPoC-Malware von einem Datensatz des Anbieters Mapbox abruft.

Funktionen und betroffene Sicherheitslücken

Der Trojaner verfügt über weitreichende Spionagefunktionen. ChocoPoC kann beliebige Shell-Befehle und Python-Codes ausführen, Dateien und Verzeichnisse hochladen sowie Systemprozesse auflisten. Zudem durchsucht die Schadsoftware den infizierten Rechner nach Textdateien, Dokumentationen und Datenbanken. Sie sammelt Netzwerkkonfigurationen, den Verlauf der Kommandozeile sowie im Browser gespeicherte Passwörter, Cookies und den Verlauf.

Bisher hat Sekoia mindestens sieben präparierte Repositories auf GitHub entdeckt. Diese tarnen sich als legitime Exploits für Schwachstellen in Systemen von Fortinet, PAN-OS, Ivanti, Check Point, Joomla, MongoBleed und React2Shell. Das Paket skytext wurde bereits rund 2400 Mal heruntergeladen, vorwiegend auf Linux-basierten Systemen. Die Downloadzahlen stiegen immer dann sprunghaft an, wenn Details zu den entsprechenden Sicherheitslücken öffentlich bekannt wurden.

Anzeige

Kompromittierte Konten als Basis der GitHub-Kampagne

Vor dem Einsatz der aktuellen Pakete nutzten die Hintermänner bereits ähnliche Komponenten unter den Namen slogsec und logcrypt.cryptography. Wer genau hinter der Kampagne steckt, ist unklar. Die Ermittler von Sekoia konnten jedoch Verknüpfungen zu einer ähnlichen Angreiferaktivität aus dem Ende des Jahres 2025 herstellen. Bei der Überprüfung der beteiligten Entwickler-E-Mail-Adressen stellte sich heraus, dass Zugangsdaten in geleakten Datenbanken auffindbar waren oder vermutlich durch bösartige Infostealer-Software entwendet wurden. Die Forscher kamen zu dem Schluss:

„Basierend auf diesen Erkenntnissen gehen wir mit hoher Zuversicht davon aus, dass der Angreifer in erster Linie kompromittierte Konten verwendet hat, um bösartige PyPI-Pakete und PoCs zu veröffentlichen.“

Sicherheitsforscher von Sekoia

Da Sicherheitsforscher regelmäßig mit potenziell unsicherem Code arbeiten, empfehlen die Experten, unüberprüfte Repositories grundsätzlich nur in isolierten Umgebungen auszuführen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.