Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El material de biocarbono acelera la eliminación de PFOS al atrapar y destruir permanentemente el químico

El agente de IA explota Langflow RCE para automatizar los ataques de ransomware a bases de datos

El nuevo reactor de Unity alcanza la criticidad nuclear en un hito en EE.UU.

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El nuevo ChocoPoC RAT apunta a investigadores de vulnerabilidades a través de repositorios de exploits PoC falsos
Identidad

El nuevo ChocoPoC RAT apunta a investigadores de vulnerabilidades a través de repositorios de exploits PoC falsos

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 2, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los atacantes ocultan troyanos que roban datos en códigos de explotación falsos dirigidos a personas que se ganan la vida cazando errores. El malware, llamado ChocoPoC, se mueve dentro de un repositorio de prueba de concepto (PoC) de Python en GitHub que pretende explotar un nuevo CVE.

La ejecución de uno elimina silenciosamente las contraseñas guardadas, las cookies del navegador y los archivos, dándole al atacante un caparazón en la máquina. YesWeHack y Sekoia publicaron sus hallazgos conjuntos el 1 de julio, advirtiendo que estas PoC no deberían realizarse ya que el malware y sus servidores todavía estaban activos en el momento de su informe.

Lo que importa es dónde se coloca el código. El PoC visible parece limpio. El malware evade revisiones simples de código porque está oculto dentro de un paquete de Python que el PoC incluye como dependencia.

Cómo funciona la trampa

El cebo es la presión del tiempo. Cuando se descubre una falla importante, los investigadores se apresuran a probarla y aprovechar las PoC de la comunidad para actuar rápidamente. Esta campaña convierte ese hábito en un vector de infección.

En pocas palabras, una cadena es:

Clone el repositorio y ejecute pip install para obtener los requisitos de PoC. Esto trae un paquete llamado flint y luego arrastra un segundo paquete, skytext. skytext viene con un pequeño archivo compilado (gradient.so en Linux y gradient.pyd en Windows) que se ejecuta en el momento en que inicia el PoC. Se inicia solo cuando se carga el PoC real, busca archivos con nombres como EXPLOIT_POC.py, extrae la carga útil y descarga el troyano.

Esta última verificación es la razón por la que no verá nada en una zona de pruebas simple. Si explota el paquete por sí solo sin rodearlo completamente con PoC, el malware permanecerá inactivo.

¿Qué haces robando?

Una vez ejecutado, ChocoPoC se convierte en un completo troyano de acceso remoto. Obtenga contraseñas guardadas, cookies, autocompletar e historial de Chrome, Brave, Edge y Firefox. Recupere archivos de texto, notas y bases de datos locales, junto con el historial del shell, la configuración de red y una lista de procesos en ejecución.

Los atacantes pueden ejecutar comandos de shell arbitrarios, ejecutar Python de su elección, extraer carpetas enteras e incluso ralentizar el malware para que permanezca en silencio. Algunos de los nombres de los comandos estaban en español, el código contenía pequeños errores y los investigadores lo leyeron como escrito a mano en lugar de generado por IA.

Para controlarlo, el malware se esconde a simple vista. Leemos órdenes de un conjunto de datos en Mapbox, un servicio de mapas habitual, y lo utilizamos como punto muerto. Resuelve direcciones a través de DNS sobre HTTPS y utiliza trucos de dominio frontal, por lo que el tráfico parece llamadas normales a la API de Mapbox. Las cargas más grandes se envían a otro servidor en 91.132.163.78.

¿Hasta dónde se extendió?

YesWeHack y Sekoia descubrieron al menos siete repositorios PoC falsos. Cada uno está asociado con un defecto que llama la atención.

FortiWeb Path Traversal (CVE-2025-64446) React2Shell (CVE-2025-55182) MongoBleed (CVE-2025-14847) Omisión de autenticación PAN-OS (CVE-2026-0257) Inyección de comando Ivanti Sentry (CVE-2026-10520) Omisión de autenticación de VPN de Check Point (CVE-2026-50751) Generador de páginas Joomla SP RCE (CVE-2026-48908)

Sólo el paquete skytext se ha descargado aproximadamente 2.400 veces, principalmente en Linux. Aunque la cantidad de descargas no prueba que alguien haya sido infectado, el aumento en las descargas inmediatamente después del lanzamiento de los principales CVE encaja perfectamente.

Ejecuciones anteriores de la misma campaña que se remontan a finales de 2025 utilizaron otros dos paquetes con código casi idéntico: slogsec y logcrypt.cryptography. Sekoia evalúa con gran confianza que un atacante está detrás de ambos, basándose en marcadores de control reutilizados.

Dijo que el operador estaba rotando cuentas de GitHub, PyPI y Mapbox, algunas de las cuales se crearon a partir de inicios de sesión filtrados o robados. Los grupos conocidos no tienen nombre.

Los investigadores de seguridad tienen un rico conjunto de objetivos. Por diseño, a menudo ejecutan código que no es de confianza con privilegios elevados y sus máquinas contienen credenciales de clientes, informes privados y detalles de interacción en vivo. Con un compromiso, puede obtener mucho más que una sola computadora portátil.

La campaña MUT-1244 vio el uso de repositorios PoC falsos para robar claves SSH y credenciales de nube de investigadores y equipos rojos.

Esta no es una idea nueva, sólo un nuevo envoltorio. El grupo Lazarus de Corea del Norte cortejó a investigadores durante años, haciéndose pasar por compañeros cazadores de errores, enviando proyectos maliciosos de Visual Studio en 2021, quemando días cero en 2023, y desde entonces han surgido nuevas oleadas.

En el frente de los delitos contra productos básicos, Trend Micro descubrió un PoC falso para una falla LDAP de Windows (CVE-2024-49113) que robó datos de los investigadores a principios de 2025, y a finales de 2025, otra campaña impulsó un PoC CVE falso que llevaba un troyano llamado WebRAT, dirigido principalmente a estudiantes y evaluadores junior.

Lo que añade ChocoPoC es un escondite. La PoC real que lees permanece limpia porque el malware reside en las dependencias. Como dicen los investigadores, si bien el malware en sí es una noticia vieja, «lo que ha cambiado es el mecanismo de entrega».

que hacer ahora

Hasta que se demuestre lo contrario, trate cualquier PoC como hostil y manténgase alejado del código de cuentas nuevas o desconocidas. Lea toda la cadena de dependencia, no solo el archivo PoC. Tenga cuidado con los paquetes recién publicados, los mantenedores desconocidos y las cuentas con historiales ocultos. Tenga en cuenta que solo realizaremos pruebas en una máquina virtual desechable, pero el aislamiento por sí solo no activará esta máquina virtual. La verdadera solución es no instalar el paquete en absoluto. Verifique flint, skytext, slogsec, logcrypt.cryptography del sistema, así como los hashes de archivos en el informe. Si hace cualquiera de estas cosas, rote las credenciales y reconstruya el host.

Los mayores riesgos están aguas abajo. Estas tentaciones se dirigen a los investigadores que brindan descubrimiento y PoC a marcos como Nuclei y MDUT. Sekoia advierte sobre los peligros de un doble golpe en la cadena de suministro. Envenenar a un investigador puede permitir que código malicioso se cuele en marcos en los que confían miles de personas más.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleSharePoint RCE CVE-2026-45659 agregado a CISA KEV después de ser explotado activamente
Next Article Robo de credenciales de FortiBleed asociado con operaciones de INC y Lynx Ransomware
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El agente de IA explota Langflow RCE para automatizar los ataques de ransomware a bases de datos

julio 2, 2026

Robo de credenciales de FortiBleed asociado con operaciones de INC y Lynx Ransomware

julio 2, 2026

SharePoint RCE CVE-2026-45659 agregado a CISA KEV después de ser explotado activamente

julio 2, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El material de biocarbono acelera la eliminación de PFOS al atrapar y destruir permanentemente el químico

El agente de IA explota Langflow RCE para automatizar los ataques de ransomware a bases de datos

El nuevo reactor de Unity alcanza la criticidad nuclear en un hito en EE.UU.

Robo de credenciales de FortiBleed asociado con operaciones de INC y Lynx Ransomware

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.