B
今週中
脆弱性リサーチャーを標的とした、偽のPoC(概念実証)コードを配布する「ChocoPoC」というRAT(リモートアクセスツール)
📌 一言でいうと
脆弱性リサーチャーを標的とした、偽のPoC(概念実証)コードを配布する「ChocoPoC」というRAT(リモートアクセスツール)が発見されました。攻撃者はGitHub上に最新のCVEを悪用すると称するリポジトリを公開し、依存関係として悪意のあるPythonパッケージを読み込ませることで検知を回避します。感染すると、保存済みパスワードやブラウザクッキーの窃取、および攻撃者によるリモートシェル操作が行われます。
🔍該当判定
- GitHubから脆弱性の検証コード(PoC)をダウンロードして実行している
- Python環境で 'pip install' を使用して外部ライブラリをインストールしている
- 社内で脆弱性診断やバグハンティング(脆弱性探し)を業務として行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないソースからのPoCコードを直接実行しないこと。依存関係を含むパッケージをインストールする際は、サンドボックス環境や隔離された仮想マシンを使用し、依存ライブラリの内容を十分に検証することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】偽のPoCリポジトリを用いた ChocoPoC RAT 感染への注意喚起
お疲れさまです。偽の脆弱性PoCを介して配布されるマルウェアに関する情報共有です。
■ 概要
脆弱性リサーチャーを標的とした「ChocoPoC」というRATが確認されました。GitHub上の偽PoCリポジトリにおいて、依存関係として悪意のあるPythonパッケージを読み込ませることで、静的なコードレビューを回避し、パスワード窃取やリモートシェル操作を行います。
■ 影響範囲
- 最新のCVEに対するPoCコードを検証するセキュリティエンジニア・開発者
- Python環境で外部リポジトリの依存関係をインストールするユーザー
■ 対応手順
1. 信頼性の未確認なGitHubリポジトリからのPoC実行を禁止、または隔離環境(サンドボックス)での実行を徹底させる。
2. `pip install` 等で外部パッケージを導入する際、依存関係に不審なパッケージが含まれていないか確認する習慣を周知する。
3. 開発端末における不審なアウトバウンド通信の監視を強化する。
■ 参考情報
- YesWeHack / Sekoia Joint Report
対応優先度: 中
対応期限: 速やかに周知
お疲れさまです。偽の脆弱性PoCを介して配布されるマルウェアに関する情報共有です。
■ 概要
脆弱性リサーチャーを標的とした「ChocoPoC」というRATが確認されました。GitHub上の偽PoCリポジトリにおいて、依存関係として悪意のあるPythonパッケージを読み込ませることで、静的なコードレビューを回避し、パスワード窃取やリモートシェル操作を行います。
■ 影響範囲
- 最新のCVEに対するPoCコードを検証するセキュリティエンジニア・開発者
- Python環境で外部リポジトリの依存関係をインストールするユーザー
■ 対応手順
1. 信頼性の未確認なGitHubリポジトリからのPoC実行を禁止、または隔離環境(サンドボックス)での実行を徹底させる。
2. `pip install` 等で外部パッケージを導入する際、依存関係に不審なパッケージが含まれていないか確認する習慣を周知する。
3. 開発端末における不審なアウトバウンド通信の監視を強化する。
■ 参考情報
- YesWeHack / Sekoia Joint Report
対応優先度: 中
対応期限: 速やかに周知
Subject: [Alert] ChocoPoC RAT targeting vulnerability researchers via fake PoCs
Dear team,
We are sharing information regarding a new malware campaign called "ChocoPoC."
■ Overview
ChocoPoC is a RAT distributed via fake Proof-of-Concept (PoC) exploit repositories on GitHub. It employs a supply chain technique by hiding the malicious payload within a Python package dependency, allowing it to bypass superficial code reviews. Upon infection, it steals browser cookies, passwords, and grants the attacker a remote shell.
■ Scope
- Security researchers and developers testing new CVE PoCs.
- Users installing external Python dependencies from untrusted sources.
■ Recommended Actions
1. Enforce the use of isolated sandbox environments or VMs when testing third-party PoC code.
2. Educate staff to scrutinize `requirements.txt` and dependency lists before running `pip install` on untrusted repos.
3. Monitor for unusual outbound network traffic from development workstations.
■ Reference
- YesWeHack / Sekoia Joint Report
Priority: Medium
Deadline: Immediate awareness
Dear team,
We are sharing information regarding a new malware campaign called "ChocoPoC."
■ Overview
ChocoPoC is a RAT distributed via fake Proof-of-Concept (PoC) exploit repositories on GitHub. It employs a supply chain technique by hiding the malicious payload within a Python package dependency, allowing it to bypass superficial code reviews. Upon infection, it steals browser cookies, passwords, and grants the attacker a remote shell.
■ Scope
- Security researchers and developers testing new CVE PoCs.
- Users installing external Python dependencies from untrusted sources.
■ Recommended Actions
1. Enforce the use of isolated sandbox environments or VMs when testing third-party PoC code.
2. Educate staff to scrutinize `requirements.txt` and dependency lists before running `pip install` on untrusted repos.
3. Monitor for unusual outbound network traffic from development workstations.
■ Reference
- YesWeHack / Sekoia Joint Report
Priority: Medium
Deadline: Immediate awareness