Ne mangez pas les ChocoPoC : des chercheurs en cybersécurité piégés par de faux exploits sur GitHub
Des pirates ont dissimulé un cheval de Troie dans du code partagé sur GitHub, ciblant directement les chercheurs en cybersécurité. Cette opération a été révélée le 1er juillet 2026 par l’équipe de YesWeHack.
L’affaire débute le 25 juin 2026, lorsque YesWeHack reçoit une notification sur GitHub concernant deux « PoC » (Proof of Concept), des programmes démontrant l’exploitation d’une faille de sécurité. La vulnérabilité concerne Joomla, un plugin largement utilisé pour la création de sites web. Les chercheurs, conscients de l’urgence, se mobilisent rapidement pour analyser la faille et alerter les entreprises concernées.
Les attaquants, exploitant cette précipitation, ont caché un piège dans l’un des PoC. Grâce à un examen minutieux des dépendances du code, le maliciel a été identifié avant son activation. Les chercheurs de YesWeHack et de la société Sekoia ont découvert que le code en question contenait un malware sophistiqué, conçu pour échapper à la détection.
Ce logiciel malveillant ne se déclenche que si le fichier exécuté porte un nom typique d’un PoC, tel que « exploit_poc.py ». Une fois activé, il cherche à récupérer des données sur un service détourné, Mapbox, en se faisant passer pour un trafic normal. Le malware, désigné sous le nom de ChocoPoC, est un cheval de Troie d’accès à distance (RAT) capable de voler des mots de passe, d’exécuter des commandes à distance et de récupérer des fichiers sensibles.
En poursuivant leur enquête, YesWeHack et Sekoia ont identifié au moins sept dépôts GitHub piégés de manière similaire, ciblant des failles médiatisées affectant des produits comme FortiWeb, Ivanti, et Check Point. Une campagne antérieure, remontant à fin 2025, avait déjà utilisé un code similaire, avec le paquet « skytext » téléchargé environ 2 400 fois.
Les comptes GitHub et PyPI utilisés pour diffuser ces malwares semblent avoir été créés spécifiquement pour cette opération, ou compromis via des identifiants volés. Cette méthode permet aux attaquants de brouiller les pistes et de poursuivre leur campagne même après la suspension de certains comptes.
Source : YesWeHack, Sekoia.
