B
今週中
GitHub上で公開されている偽のPoC(概念実証)エクスプロイトを介して、RAT「ChocoPoC」を感染させるキャンペーン
📌 一言でいうと
GitHub上で公開されている偽のPoC(概念実証)エクスプロイトを介して、RAT「ChocoPoC」を感染させるキャンペーンが確認されました。攻撃者はpip installを通じて悪意のある依存パッケージ(frint, skytext)を読み込ませ、コンパイル済みモジュールを用いてペイロードを展開します。このマルウェアはパスワードやブラウザデータの窃取、およびリモートアクセス機能を有しており、特にセキュリティ研究者を標的としています。
🔍該当判定
- GitHubから脆弱性の検証コード(PoC)をダウンロードして実行している
- Pythonのパッケージ管理ツール(pip install)を使用して、外部のライブラリをインストールしている
- セキュリティ研究や脆弱性診断を目的として、LinuxまたはWindows端末で未知のスクリプトを実行している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないリポジトリからのPoCコードを直接実行しないこと。特にpip installなどのパッケージ管理コマンドを実行する際は、依存関係を十分に精査するか、隔離されたサンドボックス環境(VM等)を利用することを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub上の偽PoCによるChocoPoC RAT感染について
お疲れさまです。GitHub上の偽エクスプロイトPoCを介したマルウェア感染に関する情報共有です。
■ 概要
セキュリティ研究者を標的としたキャンペーンが確認されました。GitHubに公開された偽のPoCをpip installで実行すると、依存パッケージ(frint -> skytext)を経由してコンパイル済みモジュールが読み込まれ、最終的にChocoPoC RATがインストールされます。このRATは機密情報の窃取およびリモート操作を可能にします。
■ 影響範囲
- GitHub上の未検証のPoCエクスプロイトを実行する環境
- Python環境 (pip利用)
■ 対応手順
1. 開発・検証環境において、信頼性の低いリポジトリからのパッケージインストールを禁止する。
2. PoCの検証は必ずネットワークから隔離されたサンドボックス環境で実施することを徹底させる。
3. 不審なアウトバウンド通信(C2通信)がないか、エンドポイントログを確認する。
■ 参考情報
- xakep (YesWeHack/Sekoia report)
対応優先度: 中
対応期限: 速やかに周知
お疲れさまです。GitHub上の偽エクスプロイトPoCを介したマルウェア感染に関する情報共有です。
■ 概要
セキュリティ研究者を標的としたキャンペーンが確認されました。GitHubに公開された偽のPoCをpip installで実行すると、依存パッケージ(frint -> skytext)を経由してコンパイル済みモジュールが読み込まれ、最終的にChocoPoC RATがインストールされます。このRATは機密情報の窃取およびリモート操作を可能にします。
■ 影響範囲
- GitHub上の未検証のPoCエクスプロイトを実行する環境
- Python環境 (pip利用)
■ 対応手順
1. 開発・検証環境において、信頼性の低いリポジトリからのパッケージインストールを禁止する。
2. PoCの検証は必ずネットワークから隔離されたサンドボックス環境で実施することを徹底させる。
3. 不審なアウトバウンド通信(C2通信)がないか、エンドポイントログを確認する。
■ 参考情報
- xakep (YesWeHack/Sekoia report)
対応優先度: 中
対応期限: 速やかに周知
Subject: [Security Alert] ChocoPoC RAT Distribution via Fake GitHub PoCs
Dear Team,
We are sharing information regarding a campaign distributing the ChocoPoC RAT via fraudulent Proof-of-Concept (PoC) exploits on GitHub.
■ Overview
Attackers are targeting security researchers by publishing fake PoCs. When a user runs 'pip install', the system downloads malicious dependencies (frint and skytext), which execute a compiled module (gradient.so/pyd) to deploy the ChocoPoC RAT. This malware steals credentials and browser data and provides remote access to the host.
■ Scope
- Environments executing unverified PoC exploits from GitHub
- Python environments utilizing pip
■ Recommended Actions
1. Prohibit the installation of packages from untrusted repositories in development/test environments.
2. Enforce the use of isolated sandbox environments (VMs) for any PoC verification.
3. Monitor endpoint logs for suspicious outbound C2 traffic.
■ Reference
- xakep (YesWeHack/Sekoia report)
Priority: Medium
Deadline: Immediate awareness
Dear Team,
We are sharing information regarding a campaign distributing the ChocoPoC RAT via fraudulent Proof-of-Concept (PoC) exploits on GitHub.
■ Overview
Attackers are targeting security researchers by publishing fake PoCs. When a user runs 'pip install', the system downloads malicious dependencies (frint and skytext), which execute a compiled module (gradient.so/pyd) to deploy the ChocoPoC RAT. This malware steals credentials and browser data and provides remote access to the host.
■ Scope
- Environments executing unverified PoC exploits from GitHub
- Python environments utilizing pip
■ Recommended Actions
1. Prohibit the installation of packages from untrusted repositories in development/test environments.
2. Enforce the use of isolated sandbox environments (VMs) for any PoC verification.
3. Monitor endpoint logs for suspicious outbound C2 traffic.
■ Reference
- xakep (YesWeHack/Sekoia report)
Priority: Medium
Deadline: Immediate awareness