ChocoPoC-Malware: Gefälschte Exploit-Repos infizieren Tausende Entwickler
02.07.2026 - 20:17:17 | boerse-global.de
Gefälschte Sicherheitslücken-Exploits locken Entwickler in die Falle – Tausende Systeme bereits infiziert.
Eine bislang unbekannte Hackergruppe hat eine ausgeklügelte Angriffswelle auf Sicherheitsforscher und Entwickler gestartet. Die als ChocoPoC getaufte Kampagne nutzt gefälschte GitHub-Repositories, um einen Remote Access Trojan (RAT) zu verbreiten. Das Ziel: sensible Daten stehlen und fremde Systeme kapern.
Wenn Vertrauen zur tödlichen Falle wird
Die Täter machen sich eine gängige Praxis der Sicherheitsbranche zunutze: Forscher testen regelmäßig öffentlich geteilte Proof-of-Concept (PoC)-Exploits, um Schwachstellen zu analysieren. Genau hier setzt ChocoPoC an. Anfang Juli tauchten mindestens sieben GitHub-Repositories auf, die angeblich Exploits für kritische Sicherheitslücken bereitstellten – darunter CVE-2025-64446 (FortiWeb), CVE-2025-55182 (React2Shell) und CVE-2025-14847 (MongoBleed). Auch aktuelle Lücken aus dem Jahr 2026 in PAN-OS, Ivanti Sentry, Check Point VPN und Joomla SP Page Builder wurden als Köder genutzt.
Die Exploit-Skripte selbst sind oft funktionsfähig – das soll jeden Verdacht im Keim ersticken. Die eigentliche Schadsoftware versteckt sich jedoch in den Python-Abhängigkeiten der Projekte. Konkret setzen die Angreifer auf die bösartigen PyPI-Pakete „frint" und „skytext". Allein skytext wurde rund 2.400 Mal heruntergeladen. Die meisten Opfer arbeiten auf Linux-Systemen. Besonders perfide: Die Angreifer nutzten offenbar kompromittierte GitHub-Konten, um die Repositories zu hosten – das verleiht den bösartigen Projekten eine trügerische Legitimität.
Ein RAT mit umfassenden Spionagefähigkeiten
Der ChocoPoC-RAT ist kein simpler Schädling. Sobald ein Forscher die infizierten Abhängigkeiten installiert, prüft die Malware zunächst, ob das eigentliche Exploit-Skript ausgeführt wird. Erst dann aktiviert sie ihre Hauptfunktionen.
Wer öffentliche Exploit-Repos testet, riskiert unbemerkt Malware wie den ChocoPoC-RAT zu installieren. Dieser Leitfaden zeigt, wie Sie gefälschte Repos erkennen, PyPI-Pakete prüfen und eine sichere Testumgebung aufbauen. Jetzt kostenlosen Leitfaden sichern
Der Trojaner stiehlt Browserdaten – darunter gespeicherte Passwörter und Cookies aus Chrome, Brave, Edge und Firefox. Darüber hinaus sammelt er Shell-Historien, Netzwerkkonfigurationen, aktive Prozesslisten und lokale Dateien. Die Kommunikation mit den Angreifern läuft über Mapbox-Datensätze als Command-and-Control (C2)-Infrastruktur – eine Technik namens Domain-Fronting, die den bösartigen Traffic als legitime Webaktivität tarnt. Die gestohlenen Daten landen auf der IP-Adresse 91.132.163.78.
Sicherheitsanalysten betonen: ChocoPoC ist keine einmalige Aktion. Bereits frühere Kampagnen nutzten ähnliche Methoden mit Paketen wie „slogsec" und „logcrypt.cryptography". Die Täter entwickeln ihre Strategie also kontinuierlich weiter.
Entwickler im Visier – ein wachsender Trend
Die ChocoPoC-Kampagne ist kein Einzelfall. Erst Anfang dieser Woche wurde ein gefälschter Polymarket-Trading-Bot auf GitHub entdeckt, der mindestens 53 DeFi-Entwickler infizierte. Diese Attacke wird nordkoreanischen Hackern zugeschrieben und nutzte 30 bösartige npm-Pakete, um Krypto-Wallet-Schlüssel und Cloud-Zugangsdaten zu stehlen.
Allein das Paket skytext wurde 2.400 Mal heruntergeladen – viele Entwickler haben den ChocoPoC-RAT bereits im System. Mit unserer Schritt-für-Schritt-Checkliste identifizieren Sie infizierte Abhängigkeiten, bevor sie Schaden anrichten. Checkliste jetzt herunterladen
Parallel dazu identifizierten Kaspersky-Forscher Infostealer, die sich als beliebte KI-Entwickler-Tools wie Claude Code und OpenClaw tarnen. Diese Angriffe setzen auf gefälschte Werbeanzeigen, um den Amatera-Infostealer auf Windows-Systeme und die AMOS-Malware auf macOS zu schleusen.
Die Botschaft ist klar: Die vertrauensbasierten Ökosysteme der Entwickler-Community werden zunehmend zur Zielscheibe. Wer öffentliche Exploit-Codes testet, sollte dies nur in isolierten Umgebungen tun – und vor der Installation jeglicher Abhängigkeiten genau prüfen, was sich dahinter verbirgt.
