ChocoPoc malware delivered via trojanized exploits on GitHub
Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. Sie betrifft Nutzer, die diese Exploits herunterladen, und ermöglicht Angreifern die Ausführung von Befehlen sowie den Diebstahl sensibler Daten. Nutzern wird dringend empfohlen, die Herkunft und Integrität von GitHub-Exploits genau zu prüfen.
Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. Nutzer, die diese trojanisierten Exploits herunterladen, sind betroffen. Die Malware ermöglicht Angreifern die Ausführung von Befehlen und den Diebstahl sensibler Daten.
Nutzer, die manipulierte Proof-of-Concept-Exploits von GitHub heruntergeladen haben.
Organisationen, deren Entwickler oder Sicherheitsforscher Exploits von GitHub beziehen, könnten durch die Ausführung dieser manipulierten Dateien kompromittiert werden. Dies kann zur Ausführung beliebiger Befehle und zum Diebstahl sensibler Daten führen.
Ein Angreifer erlangt vollständige Kontrolle über ein System, auf dem ein manipulierter Exploit ausgeführt wurde, und stiehlt kritische Unternehmensdaten oder führt weitere Angriffe innerhalb des Netzwerks aus.
Überprüfen Sie die Herkunft und Integrität aller von GitHub heruntergeladenen Exploits und Skripte, insbesondere Proof-of-Concept-Code, bevor Sie ihn ausführen. Nutzen Sie Sandboxing und Code-Reviews.
- ▸Überprüfen Sie, ob in Ihrer Organisation Skripte oder Exploits von GitHub heruntergeladen und ausgeführt werden, ohne vorherige Integritätsprüfung.
- ▸Scannen Sie Systeme, auf denen kürzlich GitHub-Exploits ausgeführt wurden, auf Anzeichen von ChocoPoc-Malware oder ungewöhnliche Netzwerkaktivitäten.
- ▸Stellen Sie sicher, dass Endpoint Detection and Response (EDR)-Lösungen die Ausführung von Python-Skripten überwachen und verdächtige Aktivitäten erkennen können.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. |
| Execution | T1059.006 Command and Scripting Interpreter: Python | High | Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. |
| Command and Control | T1071.001 Application Layer Protocol: Web Protocols | Low | ermöglicht Angreifern die Ausführung von Befehlen |
| Exfiltration | T1041 Exfiltration Over C2 Channel | Low | sowie den Diebstahl sensibler Daten. |
- Die spezifischen Kommunikationsprotokolle, die ChocoPoc für Command and Control verwendet, sind nicht angegeben.
- Die genauen Arten der gestohlenen 'sensiblen Daten' sind nicht spezifiziert.
- Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) wie Hashes oder C2-Server genannt.
- Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Können wir Resource Development detektieren?
- Können wir Execution detektieren?