ChocoPoC: Yeni Bir Tehdit
Son dönemde, siber güvenlik araştırmacılarını hedef alan ve GitHub üzerinde dağıtılan ChocoPoC adlı Python tabanlı bir uzaktan erişim trojanı (RAT) dikkat çekiyor. Bu saldırı, güvenlik araştırmalarında bulunan zayıflıkları kullanarak kötü amaçlı yazılım dağıtımı gerçekleştiriyor.
Saldırı Nasıl Çalışıyor?
ChocoPoC, kötü niyetli PoC (proof-of-concept) araçlarına zarar veren bir yazılımdır. Bu saldırıda, yazılımlar doğrudan exploit dosyasına gömülmek yerine, aşağıdaki gibi yöntemler kullanılarak kötü niyetli Python paketleri ekleniyor:
- Kötü amaçlı bir frint adlı paket, hedefin sistemine otomatik olarak yükleniyor.
- Yükleme sırasında skytext adlı zararlı bir bağımlılık paketi çekiliyor.
- Bu paket, daha sonra başka kötü niyetli kodlar indiren bir downloader’ı tetikliyor.
ChocoPoC RAT, aşağıdaki yeteneklere sahiptir:
- Rastgele shell komutları ve Python kodu çalıştırma
- Dosya ve dizinleri yükleme
- Tarayıcı şifreleri, çerezler, otomatik doldurma verileri ve tarama geçmişi toplama
- Metin dosyalarını, markdown belgelerini ve veritabanı dosyalarını arama
- Ev sahibi makinelerden shell geçmişi toplama
- Ağ yapılandırmasını toplama
- Çalışan süreçleri listeleme
Etkilenen Sistemler
Sekoia’nın araştırmalara göre, ChocoPoC’un kötü niyetli PoC’leri aşağıdaki CVE kodlarına sahip sistemleri hedef alıyor:
- FortiWeb (CVE-2025-64446)
- React2Shell (CVE-2025-55182)
- MongoBleed (CVE-2025-14847)
- PAN-OS (CVE-2026-0257)
- Ivanti Sentry (CVE-2026-10520)
- Check Point VPN (CVE-2026-50751)
- Joomla SP Page Builder (CVE-2026-48908)
Ayrıca, bu kötü niyetli paketler çoğunlukla Linux temelli sistemlerde 2.400 defa indirilmiştir. Popüler bir açık duyurusu sonrasında bu indirmelerde büyük bir artış gözlemlenmiştir.
Çözüm ve Korunma
Siber güvenlik uzmanları, bu tür yeni tehdit tekniklerinin exploitleri aynı tutarak zararlı davranışları maskelemeye olanak tanıdığını belirtmektedir. Vulnerability ve penetration tester’lar için öneriler:
- Github üzerindeki depo ve kodları asla sorgusuz sualsiz güvenilir kabul etmeyin.
- Doğrulanmamış kodları yalnızca izole alanlarda çalıştırın.
- Sistem yazılımlarını her zaman güncel tutun.
Sonuç
ChocoPoC gibi yeni tehditlere karşı dikkatli olunması gerekmektedir. Kullanıcıların, GitHub üzerindeki kaynaklardan indirdikleri paketlerin içeriğini dikkatlice incelemeleri ve güncellemeleri yapmaları önemlidir. Sisteminizi olası zararlardan korumak için sistem güncellemelerini yapmayı ve güvenlik duvarlarınızı etkin tutmayı ihmal etmeyin.


