Malware ChocoPoc é distribuído por exploits trojanizados no GitHub
2 de Julho de 2026 Atualizado em 2 de Julho de 2026

Criminosos estão escondendo um trojan voltado para roubo de dados dentro de um falso código de exploit direcionado justamente a quem vive de caçar falhas.

O malware, batizado de ChocoPoC, circula em repositórios de prova de conceito em Python no GitHub que alegam explorar CVEs recém-divulgadas e de grande impacto. A YesWeHack e a Sekoia divulgaram as descobertas conjuntas em 1º de julho e alertaram que, até a publicação do relatório, o malware e seus servidores ainda estavam ativos.

Ao executar um desses códigos, o ataque age em silêncio: ele coleta senhas salvas, cookies do navegador, arquivos locais e, em seguida, entrega ao invasor um shell na máquina da vítima. A recomendação é clara: não execute nenhum desses PoCs.

A armadilha está no local onde o código malicioso fica escondido. O PoC visível parece limpo, mas o malware está em um pacote Python puxado como dependência, o que o faz passar despercebido em uma revisão rápida.

Esconder malware em exploits de PoC para diferentes vulnerabilidades não é novidade. Há casos em que threat actors se passam por pesquisadores de segurança legítimos e exploram falhas em alta para atingir testadores de vulnerabilidades e de penetração, além de hackers menos experientes.

Como a armadilha funciona

O isco é a pressão do tempo. Quando uma falha grave é divulgada, pesquisadores correm para testá-la e costumam recorrer a PoCs da comunidade para agir mais rápido. Essa campanha transforma esse hábito em porta de entrada para infecção.

Em termos simples, a cadeia funciona assim: você clona o repositório e executa `pip install` para baixar as dependências do PoC. Isso puxa um pacote chamado `frint`, que por sua vez traz outro pacote, `skytext`.

Segundo pesquisadores da Sekoia, os pacotes estão hospedados no Python Package Index (PyPI), plataforma usada por desenvolvedores Python para obter e compartilhar código. Assim que a vítima clona um repositório malicioso, um pacote adulterado chamado `frint` é baixado e instalado automaticamente no sistema.

Durante a instalação, o pacote busca uma dependência maliciosa chamada `skytext`, que contém uma extensão nativa compilada de Python. O `skytext` inclui um arquivo compilado pequeno, `gradient.so` no Linux e `gradient.pyd` no Windows, que é executado assim que o PoC é iniciado.

O código só desperta quando percebe que o PoC real foi carregado, verificando a presença de um arquivo chamado `EXPLOIT_POC.py` ou similar. A partir daí, ele descompacta seu payload e baixa o trojan.

É justamente essa checagem que faz com que um sandbox simples não enxergue nada. Se o pacote for executado isoladamente, sem o PoC completo ao redor, o malware continua inativo.

O que ele rouba e faz

Depois de ativo, o ChocoPoC funciona como um trojan de acesso remoto completo. Ele extrai senhas salvas, cookies, preenchimento automático e histórico do Chrome, Brave, Edge e Firefox.

Também coleta arquivos de texto, anotações e bancos de dados locais, além do histórico do shell, configurações de rede e a lista de processos em execução. O invasor ainda pode executar qualquer comando no shell, rodar Python arbitrário, baixar pastas inteiras e reduzir a velocidade do malware para permanecer discreto.

Vários nomes de comandos estão em espanhol, e o código apresenta pequenos erros, o que levou os pesquisadores a concluir que ele foi escrito manualmente, e não gerado por AI.

Para manter o controle, o malware se esconde à vista de todos. Ele lê suas ordens a partir de um conjunto de dados no Mapbox, um serviço legítimo de mapas, usado como ponto de entrega. A resolução desse endereço ocorre via DNS-over-HTTPS, e a comunicação usa uma técnica de domain fronting, de modo que o tráfego pareça uma chamada comum à API do Mapbox.

Conjuntos de dados do Mapbox também estão sendo usados para exfiltração de dados, embora envios de arquivos maiores sejam tratados separadamente por meio de um servidor HTTP. Segundo os pesquisadores, envios maiores vão para um servidor separado, no endereço 91.132.163.78.

Até onde ele chegou

A YesWeHack e a Sekoia identificaram pelo menos sete repositórios falsos de PoC no GitHub que distribuem o ChocoPoC e hospedam exploits para FortiWeb com path traversal ( CVE-2025-64446 ), React2Shell ( CVE-2025-55182 ), MongoBleed ( CVE-2025-14847 ), bypass de autenticação no PAN-OS ( CVE-2026-0257 ), injeção de comandos no Ivanti Sentry ( CVE-2026-10520 ), bypass de autenticação no VPN da Check Point ( CVE-2026-50751 ) e RCE no Joomla SP Page Builder ( CVE-2026-48908 ).

Os pesquisadores descobriram que o `skytext` foi baixado cerca de 2.400 vezes, principalmente em sistemas baseados em Linux. O volume de downloads disparou após a divulgação de grandes CVEs, o que combina com a estratégia de isca.

A Sekoia também informa que, antes de `frint` e `skytext`, a campanha usou dois outros pacotes, chamados `slogsec` e `logcrypt.cryptography`, com código-fonte muito semelhante, e entregou o mesmo payload ChocoPoC.

Ainda não está claro quem está por trás da campanha, mas os pesquisadores encontraram vários endereços de e-mail associados a mantenedores de commits do GitHub ligados a outra atividade de adulteração de exploits de PoC no fim de 2025. A Sekoia constatou que as credenciais de dois dos e-mails usados nas campanhas apareceram em bases de dados vazadas, e o login de outro “muito provavelmente se origina de uma comprometimento por infostealer”.

“Com base nessas descobertas, avaliamos com alta confiança que o atacante usou principalmente contas comprometidas para publicar pacotes maliciosos no PyPI e PoCs”, afirmaram os pesquisadores da Sekoia.

Os pesquisadores alertam que a nova técnica de distribuição de malware permite manter o exploit intacto ao atribuir o comportamento malicioso a pacotes que, isoladamente, parecem inofensivos. Como resumiram, o malware em si já não é novidade, mas “o que está mudando é o mecanismo de entrega”.

Como se proteger

Pesquisadores de segurança são um alvo valioso porque executam código não confiável por definição, muitas vezes com privilégios elevados, e suas máquinas concentram credenciais de clientes, relatórios privados e detalhes de operações em andamento.

Trate qualquer PoC como hostil até que se prove o contrário, e evite código vindo de contas recém-criadas ou desconhecidas. Leia toda a cadeia de dependências, e não apenas o arquivo principal do PoC.

Observe pacotes publicados recentemente, mantenedores desconhecidos e contas com histórico oculto. Teste apenas em uma máquina virtual descartável, mas tenha em mente que o isolamento por si só não detecta esse tipo de ameaça.

A medida realmente eficaz é não instalar os pacotes. Verifique seus sistemas em busca de `frint`, `skytext`, `slogsec` e `logcrypt.cryptography`, além dos hashes listados no relatório. Se você executou algum deles, troque credenciais e refaça a configuração do host.

Essas iscas miram justamente os pesquisadores que alimentam frameworks como Nuclei e MDUT com detecções e PoCs. A Sekoia alerta para o perigo de um golpe duplo na supply chain: infectar um pesquisador e fazer com que o código malicioso se espalhe por frameworks em que milhares de outras pessoas confiam.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...