Malware ChocoPoC usa PyPI e GitHub para atacar Linux

Malware ChocoPoC usa PyPI e GitHub para atacar Linux

O malware ChocoPoC acendeu um novo alerta para a comunidade de desenvolvimento e segurança ao explorar justamente a confiança depositada em GitHub e PyPI, duas das plataformas mais utilizadas por profissionais de tecnologia. Em vez de atacar usuários comuns, a campanha mira pesquisadores de segurança, administradores de sistemas e desenvolvedores que costumam baixar provas de conceito (PoCs) para analisar vulnerabilidades.

O aspecto mais preocupante da campanha é que o código malicioso não está, necessariamente, no repositório principal. A infecção acontece por meio de uma cadeia de dependências cuidadosamente preparada, tornando o ataque muito mais difícil de identificar durante uma análise superficial. Isso demonstra como os ataques à cadeia de suprimentos de software continuam evoluindo e explorando hábitos comuns da comunidade técnica.

Neste artigo, você entenderá como funciona o malware ChocoPoC, por que ele representa uma ameaça especialmente para usuários de Linux, como os atacantes utilizam pacotes maliciosos no PyPI para distribuir um RAT (Remote Access Trojan) e quais medidas podem reduzir significativamente os riscos durante a análise de códigos disponíveis no GitHub.

Como funciona a armadilha do malware ChocoPoC no GitHub

A campanha identificada por pesquisadores da Sekoia utiliza uma estratégia extremamente convincente. Os criminosos criam repositórios falsos no GitHub que simulam conter exploits de prova de conceito (PoCs) para vulnerabilidades conhecidas em soluções amplamente utilizadas por empresas.

Entre os alvos utilizados como isca estão falhas em produtos de fabricantes como Fortinet, Check Point, Ivanti e outras plataformas populares no ambiente corporativo. Para um pesquisador que acompanha vulnerabilidades recém-divulgadas, esses repositórios aparentam ser legítimos e úteis para testes de segurança.

A aparência profissional dos projetos aumenta ainda mais a credibilidade. Muitos deles apresentam documentação organizada, estrutura semelhante à de projetos reais e instruções aparentemente inofensivas para instalação.

É justamente nesse momento que a armadilha entra em ação.

Exemplo de um repositório malicioso
Exemplo de um repositório malicioso
Imagem: Sekoia

A cadeia de infecção oculta no PyPI

O diferencial do malware ChocoPoC é que o código malicioso não está necessariamente presente no exploit principal.

Em vez disso, os repositórios incluem arquivos de dependências, como o tradicional requirements.txt, que solicitam a instalação automática de bibliotecas aparentemente comuns utilizando o pip.

Entre essas dependências aparecem os pacotes maliciosos frint e skytext, publicados no PyPI especificamente para executar a próxima etapa da infecção.

Como muitos profissionais executam um simples pip install -r requirements.txt sem revisar cuidadosamente cada dependência, o malware consegue ser instalado praticamente sem levantar suspeitas.

Essa abordagem representa uma evolução dos ataques à cadeia de suprimentos, pois transfere a carga maliciosa para um serviço amplamente confiável pela comunidade de desenvolvimento.

Além disso, caso o repositório seja removido, novos projetos podem ser publicados utilizando exatamente o mesmo método, tornando a campanha relativamente simples de reproduzir.

O papel do Mapbox e as capacidades do RAT

Após a instalação, o trojan ChocoPoC passa a operar como um RAT (Remote Access Trojan).

Segundo as análises da campanha, um dos aspectos mais sofisticados da operação é o uso indevido dos conjuntos de dados da plataforma Mapbox para facilitar comunicações relacionadas ao comando e controle (C2) e à exfiltração de dados.

Essa técnica dificulta a identificação do tráfego malicioso, já que parte das comunicações ocorre utilizando uma infraestrutura conhecida e amplamente utilizada por aplicações legítimas.

Uma vez ativo, o malware pode coletar diversas informações da máquina comprometida, incluindo:

  • Senhas armazenadas;
  • Histórico de comandos do shell;
  • Arquivos presentes no sistema;
  • Informações do ambiente de desenvolvimento;
  • Dados que possam facilitar movimentos posteriores dentro da infraestrutura da vítima.

O objetivo final é fornecer acesso remoto aos operadores da campanha, permitindo espionagem, roubo de credenciais e futuras ações maliciosas.

Como o malware ChocoPoC afeta sistemas Linux

Embora o método de infecção possa atingir diferentes plataformas, a campanha apresenta impacto significativamente maior sobre usuários de Linux.

Isso ocorre porque pesquisadores de segurança, administradores de servidores e desenvolvedores costumam executar ferramentas de análise diretamente em ambientes Linux, tornando esse público um alvo natural para os atacantes.

Segundo os dados divulgados pela Sekoia, aproximadamente 2.400 downloads dos pacotes maliciosos foram registrados, sendo que a maior parte ocorreu em sistemas Linux.

Esse número não significa necessariamente que todas as instalações resultaram em comprometimento, mas demonstra que a campanha conseguiu alcançar um público altamente qualificado.

Outro aspecto preocupante é que os operadores utilizaram contas comprometidas de desenvolvedores legítimos, aumentando significativamente a credibilidade dos projetos publicados.

Para um profissional experiente, encontrar um repositório hospedado por uma conta aparentemente confiável reduz naturalmente o nível de desconfiança durante a análise inicial.

Esse detalhe mostra como ataques modernos não dependem apenas de malware sofisticado, mas também de técnicas eficientes de engenharia social.

Como se proteger do malware ChocoPoC e de PoCs trojanizadas no Linux

Ataques como o do malware ChocoPoC reforçam que até profissionais experientes podem ser vítimas quando a confiança substitui a verificação.

Algumas práticas simples reduzem significativamente os riscos.

Nunca execute PoCs diretamente no sistema principal

Sempre utilize máquinas virtuais, containers, laboratórios isolados ou ambientes de sandbox para analisar códigos obtidos na internet.

Caso o código seja malicioso, o impacto ficará restrito ao ambiente de testes.

Analise cuidadosamente o requirements.txt

Antes de executar qualquer comando de instalação, revise manualmente todas as dependências.

Pacotes desconhecidos, recém-publicados ou sem histórico consistente merecem investigação adicional.

Pesquise a reputação dos pacotes

Verifique quando o pacote foi criado, quantos mantenedores possui e se há histórico de uso pela comunidade.

Pacotes publicados recentemente apenas para atender um único projeto devem despertar atenção.

Desconfie de repositórios recém-criados

Mesmo quando um projeto parece profissional, observe a idade da conta, o histórico de contribuições, o número de colaboradores e a atividade da comunidade.

Esses fatores ajudam a identificar repositórios criados exclusivamente para campanhas maliciosas.

Utilize ferramentas de análise de dependências

Diversas soluções conseguem identificar bibliotecas suspeitas, dependências vulneráveis e comportamentos incomuns antes da instalação.

Adicionar esse tipo de validação ao fluxo de trabalho pode impedir que ataques semelhantes avancem.

A evolução dos ataques à cadeia de suprimentos exige novas práticas

O caso do malware ChocoPoC demonstra que a distribuição de malware continua evoluindo junto com o ecossistema de desenvolvimento moderno.

Em vez de explorar diretamente vulnerabilidades técnicas, os criminosos passaram a atacar a confiança existente entre desenvolvedores, pesquisadores e plataformas consolidadas como GitHub e PyPI.

Esse tipo de campanha também reforça que a simples utilização de serviços reconhecidos não garante segurança. Dependências maliciosas, contas comprometidas e projetos falsos podem transformar um procedimento rotineiro em uma infecção completa do sistema.

Para quem trabalha diariamente com Linux, desenvolvimento de software ou pesquisa em segurança ofensiva, a principal defesa continua sendo a combinação entre análise criteriosa, ambientes isolados e validação de todas as dependências antes da execução de qualquer código de terceiros.

Criar esse hábito pode parecer trabalhoso, mas representa uma das formas mais eficazes de impedir que campanhas sofisticadas como a do ChocoPoC comprometam sistemas, roubem credenciais e coloquem infraestruturas inteiras em risco.