Une campagne malveillante d’envergure cible les chercheurs et professionnels de la cybersécurité via la plateforme GitHub, en utilisant des dépôts piégés qui diffusent un logiciel malveillant nommé ChocoPoC. Le stratagème exploite la confiance et la rigueur technique des experts à l’affût de failles récentes pour compromettre leurs systèmes.

La particularité de cette attaque réside dans sa méthode d’infiltration. Contrairement à des malwares qui se cachent dans le code visible des projets, ChocoPoC s’introduit via les dépendances Python nécessaires au fonctionnement des preuves de concept (PoC). Lorsqu’une victime télécharge un dépôt supposé démontrer l’exploitation d’une vulnérabilité, puis installe et exécute les bibliothèques requises, le code malveillant s’active. Cette approche rend la menace particulièrement difficile à détecter pour des utilisateurs habitués à manipuler du code potentiellement non fiable.

Des cibles choisies avec soin

Les auteurs de la campagne ont sélectionné des thèmes très spécifiques pour leurs dépôts frauduleux : ils se font passer pour des preuves de concept de failles de sécurité récentes ou très médiatisées. En jouant sur l’urgence et la curiosité des chercheurs, des testeurs d’intrusion (pentesters) et des chasseurs de vulnérabilités, les attaquants maximisent leurs chances que les cibles téléchargent et exécutent le code piégé.

Plusieurs dépôts GitHub ont été identifiés comme malveillants dans le cadre de cette opération. Les noms exacts des dépôts et le nombre total de comptes compromis n’ont pas été divulgués publiquement par les sources, mais des équipes de cybersécurité ont documenté l’existence de plusieurs canaux de diffusion. Cette campagne n’est pas la première à utiliser des PoC comme appât, mais elle se distingue par sa subtilité technique.

Un malware aux capacités étendues

Une fois installé, ChocoPoC permet aux attaquants de prendre le contrôle à distance de la machine infectée. Le logiciel malveillant est décrit comme un cheval de Troie d’accès à distance (RAT) capable d’exécuter des commandes, d’exfiltrer des données, de surveiller l’activité de l’utilisateur et de se propager potentiellement au sein d’un réseau. Les victimes sont principalement des professionnels de la sécurité informatique, qui détiennent souvent un accès privilégié à des systèmes sensibles chez leurs clients ou employeurs.

Une menace prise très au sérieux

Cette campagne a été analysée par des sociétés de cybersécurité spécialisées, qui ont publié des rapports détaillés sur le fonctionnement de ChocoPoC et les indices permettant de repérer les dépôts malveillants. GitHub, la plateforme de Microsoft, n’a pas communiqué directement sur le sujet, mais les équipes de modération sont généralement réactives face à ce type de signalements. Les chercheurs sont invités à redoubler de prudence avant d’exécuter du code issu de sources non vérifiées, même lorsque celui-ci semble démontrer l’exploitation d’une faille critique.

Comment se protéger ?

Les experts recommandent de vérifier systématiquement la réputation des auteurs de dépôts GitHub, d’examiner le code source plutôt que de l’exécuter aveuglément, et de lancer tout code potentiellement dangereux dans un environnement isolé (machine virtuelle ou conteneur). La vigilance reste le meilleur rempart face à des attaques qui exploitent la confiance et la réactivité des professionnels de la sécurité.