Alerta: ChocoPoC RAT ataca a investigadores de vulnerabilidades con repositorios falsos

Publicado el

Introducción

Recientemente, se ha identificado ChocoPoC, un troyano diseñado para robar datos que se infiltra en repositorios de código de prueba de concepto (PoC) falsos en GitHub. Este malware está dirigido especialmente a investigadores de vulnerabilidades, quienes, al buscar exploits para nuevas CVEs, pueden verse comprometidos sin darse cuenta.

Mecanismo de infección

El malware se presenta en repositorios que afirman ofrecer soluciones a vulnerabilidades recientes, pero en realidad, oculta su carga maliciosa en un paquete de Python. Cuando un investigador clona un repositorio y ejecuta `pip install`, se descarga un paquete llamado frint, que a su vez arrastra otro paquete denominado skytext. Este último contiene un archivo compilado que se activa al ejecutar el PoC, permitiendo al troyano robar información.

Qué roba ChocoPoC

Una vez activado, ChocoPoC actúa como un troyano de acceso remoto. Se dedica a recopilar contraseñas guardadas, cookies y archivos de navegación de navegadores como Chrome, Brave, Edge y Firefox. Además, extrae textos, notas, bases de datos locales y configuraciones de red, permitiendo al atacante ejecutar comandos de shell y acceder a directorios completos.

Estrategias de ocultación

El malware utiliza métodos astutos para evitar detección. Se comunica mediante Mapbox, empleando un esquema de tráfico que simula llamadas a la API de este servicio. Esto dificulta su identificación, ya que las conexiones parecen legítimas. Además, las descargas del paquete skytext, que se estima llegaron a unas 2,400, se dispararon coincidiendo con la publicación de nuevas CVEs.

Casos documentados

Investigaciones de YesWeHack y Sekoia han descubierto al menos siete repositorios falsos vinculados a vulnerabilidades de alto perfil, entre ellas: - CVE-2025-64446 (FortiWeb) - CVE-2025-55182 (React2Shell) - CVE-2025-14847 (MongoBleed) - CVE-2026-0257 (PAN-OS) - CVE-2026-10520 (Ivanti Sentry) - CVE-2026-50751 (Check Point VPN) - CVE-2026-48908 (Joomla SP Page Builder)

Prevención y recomendaciones

La aparición de ChocoPoC resalta la vulnerabilidad de los investigadores de seguridad, quienes, por su trabajo, suelen ejecutar código no verificado. Para mitigar riesgos, se aconseja tratar cualquier PoC como potencialmente malicioso y evitar el uso de código de cuentas nuevas o desconocidas. Es fundamental revisar toda la cadena de dependencias y estar alerta ante paquetes recién publicados o mantenedores poco conocidos.

Además, se recomienda realizar pruebas en máquinas virtuales desechables y, si se han ejecutado estos paquetes, es crucial rotar credenciales y reconstruir el sistema afectado. La clave es no instalar paquetes sospechosos y mantener un monitoreo constante de los sistemas para detectar la presencia de frint, skytext, slogsec y logcrypt.cryptography.

Conclusión

La evolución de técnicas como las empleadas por ChocoPoC demuestra que los atacantes están cada vez más sofisticados en sus métodos de infiltración. La comunidad de ciberseguridad debe permanecer alerta y adoptar medidas proactivas para proteger sus sistemas y datos críticos.

Fuente

Ver noticia original