Security

Malware ChocoPoC Sebar Trojan Lewat PoC Palsu di GitHub, Peneliti Keamanan Jadi Target Utama

Peneliti keamanan siber mengungkap kampanye malware baru yang memanfaatkan proof-of-concept (PoC) palsu di GitHub untuk menyebarkan Remote Access Trojan (RAT) berbasis Python bernama ChocoPoC.

Berbeda dari kampanye serupa sebelumnya, malware ini tidak disisipkan langsung ke dalam file exploit, melainkan disebarkan melalui dependensi Python yang tampak sah. Teknik tersebut diyakini secara khusus menyasar peneliti keamanan, pentester, dan analis kerentanan yang rutin menguji PoC dari GitHub.

Memanfaatkan Dependensi Python di PyPI

Menurut laporan perusahaan keamanan siber Sekoia, pelaku mengunggah sejumlah repository PoC yang terlihat sah di GitHub.

Saat korban mengunduh (clone) repository tersebut dan memasang dependensi yang dibutuhkan, sistem secara otomatis menginstal paket Python bernama frint dari Python Package Index (PyPI).

Selama proses instalasi, paket tersebut kemudian menarik dependensi lain bernama skytext, yang berisi ekstensi Python terkompilasi dengan muatan berbahaya.

Ketika PoC dijalankan, ekstensi tersebut akan mendekripsi kode Python tersembunyi dan mengaktifkan downloader yang mengambil payload utama, yaitu ChocoPoC, dari dataset yang dihosting pada layanan Mapbox.

Kemampuan ChocoPoC

Setelah berhasil terpasang, ChocoPoC memberikan kendali jarak jauh kepada penyerang dan mampu melakukan berbagai aktivitas berbahaya, antara lain:

  • Menjalankan perintah shell secara arbitrer.
  • Mengeksekusi kode Python dari jarak jauh.
  • Mengunggah file maupun direktori dari komputer korban.
  • Mencuri password browser, cookie, data autofill, dan riwayat penelusuran.
  • Mencari file teks, dokumen Markdown, serta file database.
  • Mengumpulkan riwayat perintah shell (shell history).
  • Mengambil konfigurasi jaringan.
  • Mengidentifikasi proses yang sedang berjalan pada sistem.

Data hasil pencurian kemudian dikirim kembali kepada pelaku, dengan sebagian proses eksfiltrasi memanfaatkan layanan Mapbox, sementara file berukuran besar dikirim melalui server HTTP terpisah.

Menyamar sebagai PoC Kerentanan Populer

Sekoia menemukan sedikitnya tujuh repository GitHub yang menyebarkan ChocoPoC melalui PoC untuk berbagai kerentanan populer, di antaranya:

  • FortiWeb (CVE-2025-64446)
  • React2Shell (CVE-2025-55182)
  • MongoBleed (CVE-2025-14847)
  • PAN-OS (CVE-2026-0257)
  • Ivanti Sentry (CVE-2026-10520)
  • Check Point VPN (CVE-2026-50751)
  • Joomla SP Page Builder (CVE-2026-48908)

Paket skytext sendiri tercatat telah diunduh sekitar 2.400 kali, sebagian besar pada sistem berbasis Linux.

Sekoia juga mengamati lonjakan unduhan setiap kali kerentanan populer dipublikasikan, menunjukkan bahwa pelaku sengaja memanfaatkan tingginya minat peneliti terhadap PoC baru.

Kampanye Sudah Berlangsung Sebelumnya

Peneliti menemukan bahwa sebelum menggunakan frint dan skytext, pelaku sempat mendistribusikan malware yang sama melalui paket Python lain bernama:

  • slogsec
  • logcrypt.cryptography

Kedua paket tersebut memiliki kode sumber yang hampir identik dan sama-sama mengirimkan payload ChocoPoC.

Diduga Memanfaatkan Akun yang Diretas

Hingga kini identitas pelaku masih belum diketahui.

Namun, Sekoia menemukan beberapa alamat email yang digunakan pada akun GitHub terkait kampanye ini memiliki keterkaitan dengan aktivitas trojanisasi PoC lain yang terjadi pada akhir 2025.

Selain itu, kredensial milik dua akun tersebut ditemukan dalam basis data hasil kebocoran, sementara satu akun lainnya diduga berasal dari perangkat yang sebelumnya telah terinfeksi infostealer.

Berdasarkan temuan tersebut, Sekoia meyakini dengan tingkat keyakinan tinggi bahwa pelaku menggunakan akun yang telah diretas untuk mempublikasikan paket PyPI maupun repository GitHub berbahaya.

Peneliti Keamanan Diminta Lebih Waspada

Sekoia mengingatkan bahwa teknik ini jauh lebih sulit dideteksi karena file exploit tetap berfungsi sebagaimana mestinya, sementara perilaku berbahaya berasal dari dependensi eksternal yang tampak tidak mencurigakan.

Oleh karena itu, peneliti keamanan, pentester, maupun analis kerentanan disarankan untuk:

  • Tidak langsung mempercayai repository GitHub yang belum diverifikasi.
  • Memeriksa seluruh dependensi sebelum menginstalnya.
  • Menjalankan PoC hanya di lingkungan yang terisolasi (sandbox atau virtual machine).
  • Memantau paket yang diunduh dari PyPI sebelum digunakan pada sistem produksi.

Sumber: Sekoia

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button