PoC no GitHub virou vetor de ataque. A campanha ChocoPoC trojanizou exploits de prova de conceito publicados em repositórios públicos — e os alvos eram exatamente as pessoas que deveriam ser mais difíceis de enganar: pesquisadores de segurança e analistas de vulnerabilidades.
O malware, um RAT em Python apelidado de ChocoPoC, executa comandos remotos e rouba credenciais. Chegou camuflado em PoCs de CVEs reais, com código legítimo suficiente para passar em uma análise superficial.
Como a campanha funcionou
Os atacantes criaram repositórios GitHub com nomes credíveis — variações de CVEs recentes com termos como -exploit, -poc, -rce-demo. O código continha a funcionalidade de PoC real, mas com um componente adicional embutido:
- Um script Python de aparência inócua incluído como dependência ou utilitário auxiliar
- Ofuscação leve — não o suficiente para esconder de análise cuidadosa, mas suficiente para passar despercebido em uma leitura rápida
- Comunicação com C2 via HTTPS para dificultar detecção por inspeção de tráfego
- Persistência via crontab ou registro de serviço, dependendo do OS
A engenharia social aqui é sofisticada: pesquisadores têm o hábito de executar PoCs em ambientes que consideram controlados — máquinas virtuais, containers. O ChocoPoC faz escape de alguns ambientes de análise e executa no host quando detecta condições favoráveis. Para entender como identificar esse tipo de código malicioso embutido, as principais bibliotecas Python usadas em cibersegurança mostram o que é legítimo — e o que foge do padrão.
Por que pesquisadores são alvos de alto valor
Um analista de segurança comprometido é um ativo valioso para um atacante. As razões são diretas:
- Acesso a ferramentas de segurança internas, relatórios de vulnerabilidade não publicados e comunicações com fornecedores
- Credenciais de plataformas de bug bounty, threat intelligence e acesso a ambientes de clientes
- Posição de confiança dentro da organização — menos suspeito para ações que seriam bloqueadas em contas comuns
- Conhecimento do ambiente defensivo da organização — o atacante sabe exatamente o que precisa contornar
Como trabalhar com PoCs públicos com segurança
Práticas que eliminam a maioria dos riscos:
- Nunca executar PoC externo diretamente no host — sempre em VM isolada sem acesso à rede corporativa e sem compartilhamento de clipboard ou pastas
- Ler o código antes de executar — scripts Python com imports não relacionados ao objetivo do PoC são sinal imediato de alerta. Veja as ferramentas de exploitation mais usadas em CTF para entender o que código ofensivo legítimo parece — e o que foge do padrão
- Verificar o repositório — conta criada há menos de 30 dias, sem histórico de contribuições, com apenas aquele repositório é um padrão de campanha
- Usar ambientes descartáveis — snapshot antes de executar qualquer coisa, rollback imediato após análise
- Monitorar tráfego de rede da VM de análise — conexões de saída inesperadas durante execução de PoC são IOC imediato
A ironia que não deveria existir
Profissionais de segurança são treinados para desconfiar de tudo — exceto, aparentemente, de fontes dentro da própria comunidade. A campanha ChocoPoC explorou exatamente essa brecha: a confiança implícita em repositórios públicos de pesquisa.
Conhecer como ataques são construídos — incluindo os direcionados a quem defende — é parte essencial da formação técnica em cibersegurança.
Construa o conhecimento ofensivo que fortalece a defesa
- Hacker Ético na Prática — entenda como PoCs são construídos, modificados e usados como vetor — para identificar os trojanos
- Malware — Prevenção, Proteção e Resposta na Prática — análise estática e dinâmica de código malicioso embutido em ferramentas legítimas
- Python para Cibersegurança na Prática — leia e entenda código Python malicioso com fluência técnica real
Ou comece pela Certificação IBSEC gratuita — em português, sem custo, do nível Essencial ao Profissional.
Capacite-se com quem é referência em cibersegurança no Brasil. Domine as práticas que o mercado exige e conquiste novas oportunidades.