Security

Malware ChocoPoC Menyusup Lewat PoC Palsu di GitHub, Targetkan Peneliti Keamanan Siber

Peneliti keamanan siber menemukan kampanye malware baru bernama ChocoPoC yang menyasar peneliti keamanan, pentester, dan analis kerentanan melalui proof-of-concept (PoC) palsu yang diunggah ke GitHub.

Berbeda dengan teknik sebelumnya yang menyisipkan malware langsung ke dalam file eksploitasi, kampanye ini menyembunyikan kode berbahaya di dalam dependensi Python yang secara otomatis diunduh saat PoC dijalankan.

Temuan tersebut diungkap oleh peneliti dari Sekoia dan YesWeHack.

Malware Disisipkan Melalui Paket PyPI

Dalam serangan ini, pelaku mengunggah berbagai repositori GitHub yang tampak berisi PoC untuk sejumlah kerentanan populer.

Ketika korban meng-clone repositori tersebut, sistem akan secara otomatis menginstal paket Python berbahaya bernama frint dari Python Package Index (PyPI).

Selanjutnya, paket tersebut mengunduh dependensi lain bernama skytext yang berisi ekstensi Python terkompilasi.

Saat PoC dijalankan, ekstensi tersebut akan:

  1. mendekripsi kode Python tersembunyi;
  2. mengaktifkan downloader;
  3. mengunduh payload utama ChocoPoC RAT dari layanan Mapbox Datasets.

Pendekatan ini membuat file eksploitasi utama tetap terlihat bersih sehingga lebih sulit dideteksi.

Kemampuan ChocoPoC RAT

Setelah aktif, ChocoPoC memberikan kendali jarak jauh kepada pelaku dan memiliki berbagai kemampuan berbahaya, antara lain:

  • menjalankan perintah shell maupun kode Python secara arbitrer;
  • mengunggah file dan direktori;
  • mencuri password browser, cookie, data autofill, dan riwayat penelusuran;
  • mencari file teks, dokumen Markdown, hingga database;
  • mengambil riwayat perintah shell;
  • mengumpulkan konfigurasi jaringan;
  • menginventarisasi proses yang sedang berjalan.

Untuk pencurian data, malware memanfaatkan Mapbox Datasets sebagai media eksfiltrasi. Sementara file berukuran besar dikirim melalui server HTTP terpisah.

Menyamar Sebagai PoC Kerentanan Populer

Sekoia mengidentifikasi sedikitnya tujuh repositori GitHub yang menyebarkan ChocoPoC dengan menyamar sebagai PoC untuk berbagai kerentanan, di antaranya:

  • FortiWeb (CVE-2025-64446)
  • React2Shell (CVE-2025-55182)
  • MongoBleed (CVE-2025-14847)
  • PAN-OS (CVE-2026-0257)
  • Ivanti Sentry (CVE-2026-10520)
  • Check Point VPN (CVE-2026-50751)
  • Joomla SP Page Builder (CVE-2026-48908)

Peneliti juga menemukan bahwa paket skytext telah diunduh sekitar 2.400 kali, sebagian besar pada sistem Linux.

Lonjakan unduhan biasanya terjadi segera setelah munculnya pengungkapan kerentanan baru, ketika banyak peneliti berlomba mencari dan menguji PoC yang tersedia di GitHub.

Kampanye Menggunakan Akun yang Diduga Diretas

Sebelum menggunakan frint dan skytext, pelaku diketahui sempat menyebarkan malware yang sama melalui paket lain bernama:

  • slogsec
  • logcrypt.cryptography

Sekoia juga menemukan beberapa alamat email yang digunakan untuk mengunggah repositori maupun paket PyPI memiliki kaitan dengan kampanye serupa pada akhir 2025.

Dua akun diketahui menggunakan kredensial yang telah bocor dalam basis data kebocoran, sementara akun lainnya diduga berasal dari hasil infeksi malware pencuri informasi (infostealer).

Temuan tersebut membuat peneliti meyakini dengan tingkat keyakinan tinggi bahwa pelaku menggunakan akun GitHub dan PyPI yang telah dikompromikan untuk menyebarkan malware.

Peneliti Keamanan Diminta Lebih Waspada

Menurut Sekoia, teknik ini sangat berbahaya karena kode eksploitasi tetap berfungsi sebagaimana mestinya, sementara aktivitas berbahaya dijalankan oleh paket dependensi yang terlihat tidak mencurigakan.

Karena peneliti keamanan dan penetration tester sering menjalankan kode yang belum diverifikasi, mereka menjadi target yang sangat menarik bagi pelaku.

Peneliti menyarankan agar seluruh PoC dari GitHub:

  • tidak langsung dipercaya,
  • diperiksa seluruh dependensinya sebelum dijalankan,
  • serta selalu dieksekusi di lingkungan yang terisolasi seperti virtual machine atau sandbox.

Sumber: Sekoia, YesWeHack

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button