PoC no GitHub virou vetor de ataque. A campanha ChocoPoC trojanizou exploits de prova de conceito publicados em repositórios públicos — e os alvos eram exatamente as pessoas que deveriam ser mais difíceis de enganar: pesquisadores de segurança e analistas de vulnerabilidades.

O malware, um RAT em Python apelidado de ChocoPoC, executa comandos remotos e rouba credenciais. Chegou camuflado em PoCs de CVEs reais, com código legítimo suficiente para passar em uma análise superficial.

Como a campanha funcionou

Os atacantes criaram repositórios GitHub com nomes credíveis — variações de CVEs recentes com termos como -exploit, -poc, -rce-demo. O código continha a funcionalidade de PoC real, mas com um componente adicional embutido:

  • Um script Python de aparência inócua incluído como dependência ou utilitário auxiliar
  • Ofuscação leve — não o suficiente para esconder de análise cuidadosa, mas suficiente para passar despercebido em uma leitura rápida
  • Comunicação com C2 via HTTPS para dificultar detecção por inspeção de tráfego
  • Persistência via crontab ou registro de serviço, dependendo do OS

A engenharia social aqui é sofisticada: pesquisadores têm o hábito de executar PoCs em ambientes que consideram controlados — máquinas virtuais, containers. O ChocoPoC faz escape de alguns ambientes de análise e executa no host quando detecta condições favoráveis. Para entender como identificar esse tipo de código malicioso embutido, as principais bibliotecas Python usadas em cibersegurança mostram o que é legítimo — e o que foge do padrão.

Por que pesquisadores são alvos de alto valor

Um analista de segurança comprometido é um ativo valioso para um atacante. As razões são diretas:

  • Acesso a ferramentas de segurança internas, relatórios de vulnerabilidade não publicados e comunicações com fornecedores
  • Credenciais de plataformas de bug bounty, threat intelligence e acesso a ambientes de clientes
  • Posição de confiança dentro da organização — menos suspeito para ações que seriam bloqueadas em contas comuns
  • Conhecimento do ambiente defensivo da organização — o atacante sabe exatamente o que precisa contornar

Como trabalhar com PoCs públicos com segurança

Práticas que eliminam a maioria dos riscos:

  1. Nunca executar PoC externo diretamente no host — sempre em VM isolada sem acesso à rede corporativa e sem compartilhamento de clipboard ou pastas
  2. Ler o código antes de executar — scripts Python com imports não relacionados ao objetivo do PoC são sinal imediato de alerta. Veja as ferramentas de exploitation mais usadas em CTF para entender o que código ofensivo legítimo parece — e o que foge do padrão
  3. Verificar o repositório — conta criada há menos de 30 dias, sem histórico de contribuições, com apenas aquele repositório é um padrão de campanha
  4. Usar ambientes descartáveis — snapshot antes de executar qualquer coisa, rollback imediato após análise
  5. Monitorar tráfego de rede da VM de análise — conexões de saída inesperadas durante execução de PoC são IOC imediato

A ironia que não deveria existir

Profissionais de segurança são treinados para desconfiar de tudo — exceto, aparentemente, de fontes dentro da própria comunidade. A campanha ChocoPoC explorou exatamente essa brecha: a confiança implícita em repositórios públicos de pesquisa.

Conhecer como ataques são construídos — incluindo os direcionados a quem defende — é parte essencial da formação técnica em cibersegurança.

Construa o conhecimento ofensivo que fortalece a defesa

Ou comece pela Certificação IBSEC gratuita — em português, sem custo, do nível Essencial ao Profissional.