ChocoPoC: Yeni Bir Tehdit
Siber güvenlik uzmanları, GitHub üzerinde birkaç farklı istismar (exploit) yöntemiyle dağıtılan Python tabanlı uzaktan erişim trojanı ( RAT ) olarak bilinen ChocoPoC ‘un etkisini araştırıyor. Mücadele edilmesi gereken bu yeni tehdit tekniği, güvenlik araştırmacılarını hedef almasıyla dikkat çekiyor.
Saldırı Nasıl Çalışıyor?
ChocoPoC, doğrudan istismar dosyasına kötü amaçlı yazılım yerleştirmiyor; bunun yerine, PoC’nin bağımlılık listesine zararlı Python paketleri ekliyor. Araştırmacılar, Sekoia , tarafından bildirildiğine göre bu paketler Python Package Index (PyPI) üzerinde barındırılmakta. Bir mağdur, kötü niyetli bir depoyu (repository) klonladığında, otomatik olarak ‘ frint ’ adında trojanlaşmış bir paket indirilip sistemlerine yükleniyor.
Etkilenen Sistemler
Kötü amaçlı paket, yükleme sırasında ‘ skytext ’ adında bir bağımlılık paketini çekiyor. Bu paket, derlenmiş bir native Python uzantısı içeriyor ve indirme işlemi sırasında otomatik olarak çalışarak, ekli Python kodunu şifre çözüp ChocoPoC ‘u indiren bir downloader’ı tetikliyor.
ChocoPoC RAT’ın sahip olduğu yetenekler arasında şunlar bulunuyor:
- Rastgele shell komutları ve Python kodu çalıştırma
- Dosya ve dizinleri yükleme
- Ağ tarayıcıları için şifre, çerez, autofill verisi ve tarama geçmişini toplama
- Metin dosyaları, markdown belgeleri ve veritabanı dosyalarını arama
- Host’tan shell geçmişini toplama
- Ağ yapılandırmasını toplama
- Çalışan süreçleri listeleme
Çözüm ve Korunma
Sekoia , GitHub üzerinde en az yedi PoC deposunun ChocoPoC dağıttığını ve aşağıdaki istismarları içerdiğini tespit etti:
- FortiWeb ( CVE-2025-64446 )
- React2Shell ( CVE-2025-55182 )
- MongoBleed ( CVE-2025-14847 )
- PAN-OS ( CVE-2026-0257 )
- Ivanti Sentry ( CVE-2026-10520 )
- Check Point VPN ( CVE-2026-50751 )
- Joomla SP Page Builder ( CVE-2026-48908 )
Araştırmacılar, bu yeni kötü amaçlı yazılım dağıtım tekniğinin, istismarı sağlam tutarak zararlı davranışları zararsız görünen paketlere atfederek sürdürüldüğünü vurguluyor.
Sonuç olarak, güvenlik ve penetrasyon test uzmanlarının, güvenilirliği doğrulanmamış GitHub depolarına asla güvenmemesi ve doğrulanmamış kodu yalnızca izole edilmiş ortamda çalıştırmaları önerilmektedir.
Önerilen adımlar:
- Etkilenmiş olabileceğinizi düşünüyorsanız, sistemlerinizi güncelleyerek en son güvenlik yamalarını uygulayın.
- Gereksiz GitHub bağlantılarını kapatın ve güvenli olmayan kaynaklardan yapılan indirmelerden kaçının.
- Sistemlerinizi düzenli olarak tarayın ve analiz edin.


