برمجية ChocoPoC تستهدف الباحثين الأمنيين عبر مستودعات PoC مزيفة

كشفت شركتا YesWeHack وSekoia عن حملة خبيثة جديدة تستهدف الباحثين الأمنيين عبر مستودعات مزيفة على GitHub تدّعي أنها تحتوي على أكواد إثبات مفهوم (PoC) لثغرات حديثة. البرمجية، التي أُطلق عليها اسم ChocoPoC RAT، تُخفي نفسها داخل حزم بايثون يتم استدعاؤها كاعتماديات للمشروع، بحيث يبدو الكود الأساسي نظيفًا بينما تُزرع البرمجية في الخلفية.

كيف تعمل الحملة؟
  • يقوم الباحث باستنساخ المستودع وتشغيل أمر pip install لجلب الاعتماديات.
  • يتم تنزيل حزمة باسم frint، والتي بدورها تجلب حزمة ثانية هي skytext.
  • تحتوي skytext على ملف ثنائي صغير (gradient.so على لينكس أو gradient.pyd على ويندوز) يُنفذ بمجرد تشغيل PoC.
  • البرمجية تتحقق من وجود ملف PoC فعلي مثل EXPLOIT_POC.py قبل أن تُطلق الحمولة وتُنزّل حصان طروادة ChocoPoC.
  • هذا الأسلوب يجعل البرمجية غير نشطة في بيئات التحليل الآلي (sandbox) إذا لم يكن PoC موجودًا.
قدرات ChocoPoC

بمجرد التشغيل، يعمل ChocoPoC كحصان طروادة للتحكم عن بُعد (RAT) قادر على:

  • سرقة كلمات المرور المحفوظة وملفات تعريف الارتباط من متصفحات مثل Chrome وBrave وEdge وFirefox.
  • جمع الملفات النصية وقواعد البيانات المحلية وسجلات الأوامر.
  • تنفيذ أوامر Shell أو أكواد بايثون عشوائية.
  • رفع مجلدات كاملة إلى خوادم المهاجم.
  • إبطاء نشاطه لتقليل فرص اكتشافه.

البرمجية تتلقى أوامرها عبر خدمة Mapbox باستخدام تقنيات مثل DNS-over-HTTPS وDomain Fronting، مما يجعل حركة المرور تبدو طبيعية.

المستودعات المزيفة المرتبطة بالحملة

تم رصد سبعة مستودعات مزيفة مرتبطة بثغرات بارزة، منها:

  • FortiWeb path traversal (CVE-2025-64446)
  • React2Shell (CVE-2025-55182)
  • MongoBleed (CVE-2025-14847)
  • PAN-OS auth bypass (CVE-2026-0257)
  • Ivanti Sentry command injection (CVE-2026-10520)
  • Check Point VPN auth bypass (CVE-2026-50751)
  • Joomla SP Page Builder RCE (CVE-2026-48908)

وقد تم تنزيل حزمة skytext نحو 2400 مرة، معظمها على أنظمة لينكس، مع ارتفاع التنزيلات مباشرة بعد الإعلان عن ثغرات جديدة.

خلفية تاريخية

الحملة الحالية امتداد لنسخ سابقة في أواخر 2025 استخدمت حزمًا مثل slogsec وlogcrypt.cryptography بنفس الأسلوب تقريبًا. الباحثون يعتقدون أن جهة واحدة تقف وراء الحملتين، مستندين إلى مؤشرات متكررة في الكود والبنية التحتية.

توصيات الحماية
  • التعامل مع أي PoC جديد باعتباره معاديًا محتملًا حتى يثبت العكس.
  • مراجعة سلسلة الاعتماديات بالكامل، وليس ملف PoC فقط.
  • تجنب تثبيت حزم من حسابات مجهولة أو حديثة النشأة.
  • اختبار الأكواد في بيئات افتراضية معزولة، مع إدراك أن العزل وحده قد لا يكشف البرمجية.
  • البحث عن وجود الحزم frint وskytext وslogsec وlogcrypt.cryptography على الأنظمة، وإذا وُجدت يجب تدوير بيانات الاعتماد وإعادة بناء الأجهزة.

الخطر الأكبر يكمن في أن هذه الحملات تستهدف الباحثين الذين يمدون المجتمعات الأمنية بأدوات الكشف وPoCs، مما يفتح الباب أمام ضربة مزدوجة لسلاسل التوريد الأمنية إذا تسلل الكود الخبيث إلى أطر عمل يستخدمها آلاف المختصين.

محمد طاهر
محمد طاهر
المقالات: 1723

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.