Tehditin Önemi
Son dönemlerde, güvenlik araştırmacılarına yönelik yeni bir siber saldırı yöntemi ortaya çıkmıştır. Bu saldırı, sahte exploit kodları aracılığıyla verileri çalan ChocoPoC adlı bir trojanın yayılmasını içermektedir; bu durum, güvenlik alanındaki profesyoneller için ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırının temelinde zaman baskısı yatmaktadır. Güvenlik araştırmacıları, yeni keşfedilen ciddi güvenlik açıklarını takip etmek ve bu açıkları test etmek için hızla harekete geçerler. Saldırganlar, bu alışkanlığı kullanarak zararlı yazılımlarını yayıyorlar.
Sürecin basit bir özeti:
- Hedef, GitHub üzerindeki PoC (Proof of Concept) deposunu klonlar ve
pip installkomutunu kullanarak gerekli bağımlılıkları indirir. - Bu işlem, frint adlı bir paketi indirir; bu paket ise başka bir paket olan skytext’i çeker.
- skytext, PoC başlatıldığında otomatik olarak çalışan küçük bir derlenmiş dosya (Linux için
gradient.so, Windows içingradient.pyd) içerir. - Trojan, yalnızca gerçek PoC yüklendiğinde aktif hale gelir; bu,
EXPLOIT_POC.pyşeklinde bir dosya arayarak yapılır.
Bu son kontrol, basit bir kum havuzunda (sandbox) hiçbir şey görünmemesine neden olur; çünkü zararlı yazılım bu şekilde çalışmaz.
Etkilenen Sistemler
ChocoPoC zararlısı, yüksek profilli güvenlik açıkları ile ilişkilendirilmiş en az yedi sahte PoC deposu tespit edilmiştir:
- FortiWeb path traversal (CVE-2025-64446)
- React2Shell (CVE-2025-55182)
- MongoBleed (CVE-2025-14847)
- PAN-OS auth bypass (CVE-2026-0257)
- Ivanti Sentry command injection (CVE-2026-10520)
- Check Point VPN auth bypass (CVE-2026-50751)
- Joomla SP Page Builder RCE (CVE-2026-48908)
Bu zararlının skytext paketi, yaklaşık 2,400 kez indirilmiştir. Ancak bu indirme işlemleri, enfeksiyonu kanıtlamaz ancak belirli CVE’lerin açıklandığı dönemdeki artış, potansiyel zararları göstermektedir.
Çözüm ve Korunma
Bu tür saldırılara karşı alınması gereken önlemler şunlardır:
- Herhangi bir PoC’yi tehlikeli olarak değerlendirin ve yeni veya bilinmeyen hesaplardan gelen kodlardan kaçının.
- Bağımlılık zincirini yalnızca PoC dosyasıyla değil, tümüyle inceleyin. Yeni yayımlanan paketlere, tanınmayan bakımcılara ve gizli geçmişi olan hesaplara dikkat edin.
- Testlerinizi yalnızca “boş” bir sanal makinede yapın; ancak yalnızca izole olmanın yeterli olmadığını unutmayın. Gerçek çözüm, paketleri hiç yüklememektir.
- Sistemlerinizi frint, skytext, slogsec ve logcrypt.cryptography paketleri için kontrol edin. Eğer bu paketleri çalıştırdıysanız, kimlik bilgilerinizi değiştirin ve sistemi yeniden yapılandırın.
Güvenlik uzmanları, siber saldırılar için zengin bir hedef olduğundan her zaman dikkatli olmalıdır. Bu tür saldırılara karşı önlem almak, sadece bireysel bilgisayarları korumakla kalmaz, aynı zamanda daha büyük bir ekosistemin güvenliğini de sağlar.


