🔥 この記事の詳細
2026-07-02 更新
B
今週中

脆弱性リサーチャーを標的とした、偽のPoC(概念実証)コードを配布する「ChocoPoC」というRAT(リモートアクセスツール)

脆弱性🌐 英語ソース
📅 2026-07-02📰 hackernews
📌 一言でいうと
脆弱性リサーチャーを標的とした、偽のPoC(概念実証)コードを配布する「ChocoPoC」というRAT(リモートアクセスツール)が発見されました。攻撃者はGitHub上に最新のCVEを悪用すると称するリポジトリを公開し、依存関係として悪意のあるPythonパッケージを読み込ませることで検知を回避します。感染すると、保存済みパスワードやブラウザクッキーの窃取、および攻撃者によるリモートシェル操作が行われます。
🔍該当判定
  • GitHubから脆弱性の検証コード(PoC)をダウンロードして実行している
  • Python環境で 'pip install' を使用して外部ライブラリをインストールしている
  • 社内で脆弱性診断やバグハンティング(脆弱性探し)を業務として行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないソースからのPoCコードを直接実行しないこと。依存関係を含むパッケージをインストールする際は、サンドボックス環境や隔離された仮想マシンを使用し、依存ライブラリの内容を十分に検証することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】偽のPoCリポジトリを用いた ChocoPoC RAT 感染への注意喚起

お疲れさまです。偽の脆弱性PoCを介して配布されるマルウェアに関する情報共有です。

■ 概要
脆弱性リサーチャーを標的とした「ChocoPoC」というRATが確認されました。GitHub上の偽PoCリポジトリにおいて、依存関係として悪意のあるPythonパッケージを読み込ませることで、静的なコードレビューを回避し、パスワード窃取やリモートシェル操作を行います。

■ 影響範囲
- 最新のCVEに対するPoCコードを検証するセキュリティエンジニア・開発者
- Python環境で外部リポジトリの依存関係をインストールするユーザー

■ 対応手順
1. 信頼性の未確認なGitHubリポジトリからのPoC実行を禁止、または隔離環境(サンドボックス)での実行を徹底させる。
2. `pip install` 等で外部パッケージを導入する際、依存関係に不審なパッケージが含まれていないか確認する習慣を周知する。
3. 開発端末における不審なアウトバウンド通信の監視を強化する。

■ 参考情報
- YesWeHack / Sekoia Joint Report

対応優先度: 中
対応期限: 速やかに周知
Subject: [Alert] ChocoPoC RAT targeting vulnerability researchers via fake PoCs

Dear team,

We are sharing information regarding a new malware campaign called "ChocoPoC."

■ Overview
ChocoPoC is a RAT distributed via fake Proof-of-Concept (PoC) exploit repositories on GitHub. It employs a supply chain technique by hiding the malicious payload within a Python package dependency, allowing it to bypass superficial code reviews. Upon infection, it steals browser cookies, passwords, and grants the attacker a remote shell.

■ Scope
- Security researchers and developers testing new CVE PoCs.
- Users installing external Python dependencies from untrusted sources.

■ Recommended Actions
1. Enforce the use of isolated sandbox environments or VMs when testing third-party PoC code.
2. Educate staff to scrutinize `requirements.txt` and dependency lists before running `pip install` on untrusted repos.
3. Monitor for unusual outbound network traffic from development workstations.

■ Reference
- YesWeHack / Sekoia Joint Report

Priority: Medium
Deadline: Immediate awareness