ChocoPoC RAT: Sahte PoC Depolarıyla Güvenlik Araştırmacılarını Hedef Alan Yeni Tehdit

Anasayfa » ChocoPoC RAT: Sahte PoC Depolarıyla Güvenlik Araştırmacılarını Hedef Alan Yeni Tehdit
ChocoPoC RAT: Sahte PoC Depolarıyla Güvenlik Araştırmacılarını Hedef Alan Yeni Tehdit

Güvenlik araştırmacılarını hedef alan yeni bir saldırı dalgası, sahte PoC (Proof of Concept) depoları üzerinden yayılıyor. ChocoPoC adlı bu Remote Access Trojan (RAT), Python tabanlı PoC projelerine gizlenerek, kullanıcıların şifrelerini, tarayıcı çerezlerini ve dosyalarını sessizce ele geçiriyor.

Saldırı Zincirinin İşleyişi

Saldırganlar, GitHub üzerinde yayımlanan ve popüler güvenlik açıklarını hedef alan PoC depolarının içine zararlı kod yerleştiriyor. İlk bakışta temiz gözüken PoC kodları, bir bağımlılık olarak eklenen frint adlı Python paketini çağırıyor. Bu paket, skytext adlı ikinci bir paketi çekiyor ve bu paket ise işletim sistemine göre değişen küçük bir derlenmiş dosyayı (Linux için gradient.so, Windows için gradient.pyd) çalıştırıyor.

Ancak zararlı yazılım aktif hale gelmeden önce, mevcut PoC’nun gerçekten çalıştığını ve belirli bir dosya (EXPLOIT_POC.py gibi) yüklendiğini kontrol ediyor. Bu sayede, sadece tam PoC ortamında tetiklenerek, sandbox veya basit analiz ortamlarının tespitten kaçınmasını sağlıyor.

Çalınan Veriler ve Yetkiler

Çalışmaya başladığında, ChocoPoC tam yetkili uzak erişim trojanına dönüşüyor. Chrome, Brave, Edge ve Firefox gibi popüler tarayıcılardan kayıtlı şifreler, çerezler, otomatik doldurma verileri ve geçmişe erişiyor. Ayrıca metin dosyaları, notlar, yerel veritabanları, shell geçmişi, ağ ayarları ve çalışan işlemler gibi kritik bilgileri topluyor.

Bu trojan, saldırganlara istediği shell komutunu çalıştırma, Python kodu yürütme, klasörleri çekme ve kendini gizlemek için yavaşlama gibi imkanlar sunuyor. İlginç şekilde, komut isimleri İspanyolca ve kodda küçük hatalar bulunuyor; bu da yazılımın AI tarafından değil, insan eliyle yazıldığına dair ipuçları veriyor.

İletişim ve Kontrol Mekanizması

ChocoPoC, komutlarını Mapbox adlı harita servisi üzerine yerleştirilen veri setlerinden alıyor. Bu adres, DNS-over-HTTPS üzerinden çözülüyor ve domain-fronting yöntemiyle trafik sıradan Mapbox API çağrıları gibi görünüyor. Daha büyük veri yüklemeleri ise 91.132.163.78 IP adresine yönlendiriliyor.

Riskin Boyutu ve Hedeflenen Açıklar

Analizlere göre, en az yedi sahte PoC deposu kullanıldı. Bunlar arasında FortiWeb path traversal (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS yetkilendirme atlatma (CVE-2026-0257), Ivanti Sentry komut enjeksiyonu (CVE-2026-10520), Check Point VPN yetkilendirme atlatma (CVE-2026-50751) ve Joomla SP Page Builder uzaktan kod yürütme (CVE-2026-48908) gibi kritik zaafiyetler yer alıyor.

skytext paketi yaklaşık 2.400 kez indirildi, çoğunlukla Linux sistemlerde. İndirme sayısı doğrudan enfeksiyon anlamına gelmese de, popüler CVE açıklamalarının hemen ardından artış göstermesi dikkat çekiyor.

Güvenlik Araştırmacıları Neden Hedefte?

Bu kampanya, güvenlik araştırmacılarının hızla PoC çalıştırma alışkanlıklarını kötüye kullanıyor. Yüksek ayrıcalıklara sahip makinelerde zararlı kod çalıştırmak, doğrudan kurumların veya müşterilerin hassas verilerine ulaşmak anlamına geliyor. Önceki benzer kampanyalar, SSH anahtarları ve bulut kimlik bilgilerini çalmayı hedeflemişti.

Uzmanlardan Öneriler

PoC projelerine yaklaşırken dikkatli olmak gerekiyor; özellikle yeni ve bilinmeyen hesaplardan gelen kodlar şüpheyle karşılanmalı. Tüm bağımlılıklar dikkatlice incelenmeli, sadece PoC dosyası değil, paket zinciri takip edilmeli. Testler için izole edilmiş, atılabilir VM ortamları tercih edilmeli ancak bu da tam koruma sağlamıyor çünkü zararlı ancak tam PoC ortamında aktif oluyor.

Özellikle frint, skytext, slogsec ve logcrypt.cryptography gibi paketler sistemde bulunursa, derhal kimlik bilgileri yenilenmeli ve etkilenen makineler yeniden yapılandırılmalı.

Teknik Özet

  • ChocoPoC RAT, Python PoC bağımlılıklarına gizlenen ve aktif PoC koşulduğunda tetiklenen bir trojan.
  • Hedef sistemlerde tarayıcı şifreleri, çerezler, metin dosyaları, ağ ayarları ve işlem bilgileri çalınıyor.
  • Komut kontrolü DNS-over-HTTPS kullanan Mapbox veri setleri üzerinden sağlanıyor, domain-fronting ile trafik gizleniyor.
  • En az 7 kritik zaafiyeti hedef alan sahte PoC depoları tespit edildi (CVE-2025-64446, CVE-2025-55182, CVE-2025-14847, CVE-2026-0257, CVE-2026-10520, CVE-2026-50751, CVE-2026-48908).
  • Güvenlik araştırmacılarının makineleri yüksek risk altında, zira bu cihazlar genellikle yüksek ayrıcalıklarla çalışıyor ve kritik verilere ev sahipliği yapıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • PoC kodlarının ve bağımlılıkların tam analizini yapın, özellikle yeni veya şüpheli paketleri dikkatle inceleyin.
  • Test ortamlarınızı mümkün olduğunca izole edin fakat bu tür tehditlerin tam tespiti için ek güvenlik katmanları kullanın (EDR, SIEM entegrasyonları).
  • DNS-over-HTTPS trafiğini ve domain-fronting davranışlarını gözlemleyerek anormal iletişim izlerini takip edin.
  • Kullanıcı kimlik bilgilerini düzenli olarak yenileyin ve çok faktörlü kimlik doğrulama (MFA) uygulamalarını artırın.
  • Güvenlik açığı açıklamalarından sonra yayılan PoC ve paketlerde ani artışlara karşı alarm mekanizmaları kurun.

Bu kampanya, güvenlik araştırmacılarının hassas verilerini hedef alarak, bulut güvenliği ve olay müdahale süreçlerinde yeni riskler oluşturuyor. Özellikle açık kaynaklı PoC kullanımı ve hızlı test kültürünün yaygın olduğu sektörlerde, kullanıcı ve ekiplerin bilinçli hareket etmesi kritik.