自2023年以来,一个代号ChocoPoC的持续性攻击行动悄然把武器对准了安全研究员自己。网络安全分析团队Sekoia发现,攻击者在GitHub和PyPI上传播携带后门的“概念验证”漏洞利用代码,受害者以为是正常PoC,实际会安装一个功能完整的Python远程控制木马。 一旦研究人员下载并运行伪装的利用脚本,恶意软件便会通过篡改的requirements.txt文件悄悄拉取附加依赖,接着加载gradient.so(Linux)或gradient.pyd(Windows)等原生扩展模块。该模块绕过反调试检测后,从互联网获取最终payload,建立Mapbox死寂C2信道,从而窃取数据并执行任意命令。 研究人员为什么容易中招?Sekoia报告指出,安全专家测试漏洞时常常关闭防御软件,这使他们比普通企业用户更容易被突破。入侵成功后,攻击者能够提前获取未公开的漏洞利用和研究资料,这正是该行动长期坚持的背后动机。尽管多次曝光,攻击团伙仍在不断优化诱饵,显示其长期潜伏、精准打击安全社区的明确意图。
打开网易新闻 查看精彩图片
热门跟贴