ChocoPoC-Malware, Gefälschte

ChocoPoC-Malware: Gefälschte Exploit-Repos infizieren Tausende Entwickler

02.07.2026 - 20:17:17 | boerse-global.de

Hacker nutzen gefälschte Sicherheitslücken-Repos, um Entwickler mit einem Remote Access Trojan zu infizieren und Daten zu stehlen.

ChocoPoC-Kampagne: Gefälschte GitHub-Exploits verbreiten RAT-Malware
ChocoPoC-Malware - Hackerhände tippen auf Tastatur, Codezeilen auf Bildschirm, symbolisieren Cyberangriff. 02.07.2026 - Bild: über boerse-global.de

Gefälschte Sicherheitslücken-Exploits locken Entwickler in die Falle – Tausende Systeme bereits infiziert.

Eine bislang unbekannte Hackergruppe hat eine ausgeklügelte Angriffswelle auf Sicherheitsforscher und Entwickler gestartet. Die als ChocoPoC getaufte Kampagne nutzt gefälschte GitHub-Repositories, um einen Remote Access Trojan (RAT) zu verbreiten. Das Ziel: sensible Daten stehlen und fremde Systeme kapern.

Wenn Vertrauen zur tödlichen Falle wird

Die Täter machen sich eine gängige Praxis der Sicherheitsbranche zunutze: Forscher testen regelmäßig öffentlich geteilte Proof-of-Concept (PoC)-Exploits, um Schwachstellen zu analysieren. Genau hier setzt ChocoPoC an. Anfang Juli tauchten mindestens sieben GitHub-Repositories auf, die angeblich Exploits für kritische Sicherheitslücken bereitstellten – darunter CVE-2025-64446 (FortiWeb), CVE-2025-55182 (React2Shell) und CVE-2025-14847 (MongoBleed). Auch aktuelle Lücken aus dem Jahr 2026 in PAN-OS, Ivanti Sentry, Check Point VPN und Joomla SP Page Builder wurden als Köder genutzt.

Die Exploit-Skripte selbst sind oft funktionsfähig – das soll jeden Verdacht im Keim ersticken. Die eigentliche Schadsoftware versteckt sich jedoch in den Python-Abhängigkeiten der Projekte. Konkret setzen die Angreifer auf die bösartigen PyPI-Pakete „frint" und „skytext". Allein skytext wurde rund 2.400 Mal heruntergeladen. Die meisten Opfer arbeiten auf Linux-Systemen. Besonders perfide: Die Angreifer nutzten offenbar kompromittierte GitHub-Konten, um die Repositories zu hosten – das verleiht den bösartigen Projekten eine trügerische Legitimität.

Ein RAT mit umfassenden Spionagefähigkeiten

Der ChocoPoC-RAT ist kein simpler Schädling. Sobald ein Forscher die infizierten Abhängigkeiten installiert, prüft die Malware zunächst, ob das eigentliche Exploit-Skript ausgeführt wird. Erst dann aktiviert sie ihre Hauptfunktionen.

Anzeige

Wer öffentliche Exploit-Repos testet, riskiert unbemerkt Malware wie den ChocoPoC-RAT zu installieren. Dieser Leitfaden zeigt, wie Sie gefälschte Repos erkennen, PyPI-Pakete prüfen und eine sichere Testumgebung aufbauen. Jetzt kostenlosen Leitfaden sichern

Der Trojaner stiehlt Browserdaten – darunter gespeicherte Passwörter und Cookies aus Chrome, Brave, Edge und Firefox. Darüber hinaus sammelt er Shell-Historien, Netzwerkkonfigurationen, aktive Prozesslisten und lokale Dateien. Die Kommunikation mit den Angreifern läuft über Mapbox-Datensätze als Command-and-Control (C2)-Infrastruktur – eine Technik namens Domain-Fronting, die den bösartigen Traffic als legitime Webaktivität tarnt. Die gestohlenen Daten landen auf der IP-Adresse 91.132.163.78.

Sicherheitsanalysten betonen: ChocoPoC ist keine einmalige Aktion. Bereits frühere Kampagnen nutzten ähnliche Methoden mit Paketen wie „slogsec" und „logcrypt.cryptography". Die Täter entwickeln ihre Strategie also kontinuierlich weiter.

Entwickler im Visier – ein wachsender Trend

Die ChocoPoC-Kampagne ist kein Einzelfall. Erst Anfang dieser Woche wurde ein gefälschter Polymarket-Trading-Bot auf GitHub entdeckt, der mindestens 53 DeFi-Entwickler infizierte. Diese Attacke wird nordkoreanischen Hackern zugeschrieben und nutzte 30 bösartige npm-Pakete, um Krypto-Wallet-Schlüssel und Cloud-Zugangsdaten zu stehlen.

Anzeige

Allein das Paket skytext wurde 2.400 Mal heruntergeladen – viele Entwickler haben den ChocoPoC-RAT bereits im System. Mit unserer Schritt-für-Schritt-Checkliste identifizieren Sie infizierte Abhängigkeiten, bevor sie Schaden anrichten. Checkliste jetzt herunterladen

Parallel dazu identifizierten Kaspersky-Forscher Infostealer, die sich als beliebte KI-Entwickler-Tools wie Claude Code und OpenClaw tarnen. Diese Angriffe setzen auf gefälschte Werbeanzeigen, um den Amatera-Infostealer auf Windows-Systeme und die AMOS-Malware auf macOS zu schleusen.

Die Botschaft ist klar: Die vertrauensbasierten Ökosysteme der Entwickler-Community werden zunehmend zur Zielscheibe. Wer öffentliche Exploit-Codes testet, sollte dies nur in isolierten Umgebungen tun – und vor der Installation jeglicher Abhängigkeiten genau prüfen, was sich dahinter verbirgt.

de | wissenschaft | 69675758 |