

Un nouveau malware baptisé ChocoPoC a été découvert cette semaine, ciblant spécifiquement les chercheurs en sécurité informatique via de faux dépôts de code présentés comme des preuves de concept d'exploits. La technique est à la fois élégante et préoccupante : elle retourne contre les professionnels de la sécurité les mêmes méthodes qu'ils utilisent pour étudier les menaces, en transformant les ressources d'apprentissage et de recherche en vecteurs d'infection.
Cibler les chercheurs en sécurité n'est pas une nouveauté dans le paysage des menaces avancées. Mais ChocoPoC représente une variation tactique qui mérite une analyse détaillée, non seulement pour les individus directement concernés, mais pour toutes les équipes de sécurité qui s'appuient sur des chercheurs externes ou internes qui téléchargent et exécutent régulièrement des outils de test issus de sources publiques.
Dans la communauté de la cybersécurité, un proof of concept, ou PoC, est un programme démontrant qu'une vulnérabilité est exploitable. Les PoC sont des outils légitimes et essentiels : ils permettent aux équipes de défense de tester si leurs systèmes sont vulnérables, aux éditeurs de logiciels de comprendre l'impact réel d'une faille, et aux chercheurs de reproduire et d'étudier des techniques d'attaque dans un environnement contrôlé. Des plateformes comme GitHub hébergent des milliers de PoC légitimes associés à des CVE publiés, utilisés quotidiennement par des professionnels du monde entier.
Un PoC piégé, ou trojanisé, est un programme qui ressemble à un PoC légitime, qui peut même fonctionner comme tel en démontrant réellement la vulnérabilité qu'il prétend illustrer, mais qui contient du code malveillant supplémentaire exécuté en parallèle. Ce double fonctionnement est précisément ce qui rend la détection difficile : le chercheur voit l'output attendu, le système de la victime se comporte comme prévu pour une partie du code, et pendant ce temps le malware s'installe discrètement.
ChocoPoC utilise cette approche pour délivrer PureLogs Stealer, un malware de type infostealer conçu pour exfiltrer les identifiants stockés dans les navigateurs, les portefeuilles de cryptomonnaie, les clients de messagerie, et les gestionnaires de mots de passe présents sur la machine infectée. Pour un chercheur en sécurité, la machine de travail contient typiquement des accès à des environnements de test, des clés API pour des plateformes d'analyse de menaces, des accès à des rapports de threat intelligence, et potentiellement des connexions à des systèmes de production pour des tests d'intrusion autorisés. Le contenu d'un tel système a une valeur disproportionnée par rapport à une machine personnelle ordinaire.
La logique qui sous-tend le ciblage des chercheurs en sécurité est similaire à celle qui motive les attaques contre les fournisseurs de services managés ou les intégrateurs système : compromettre un professionnel qui a un accès légitime et de confiance à des systèmes critiques est plus efficace que d'attaquer ces systèmes directement.
Un chercheur en sécurité travaillant pour un cabinet de conseil en cybersécurité peut avoir accès à des dizaines de réseaux clients différents dans le cadre de missions de test d'intrusion. Ses identifiants de connexion aux outils de gestion de ces missions, ses clés SSH pour les environnements de test, et ses accès aux plateformes de threat intelligence partagées avec ses clients sont autant de points d'entrée potentiels pour un attaquant qui réussit à compromettre sa machine.
Un chercheur travaillant au sein d'une équipe de sécurité interne d'une grande organisation dispose d'accès à des systèmes de détection et de réponse aux incidents, à des outils d'analyse de logs, et potentiellement à des comptes avec des privilèges étendus nécessaires pour ses investigations. La compromission de sa machine donne à l'attaquant non seulement ces accès directs, mais aussi la visibilité sur les défenses de l'organisation et leurs angles morts.
Un chercheur indépendant qui publie ses analyses est une cible d'un type légèrement différent : l'attaquant ne cherche pas tant à réutiliser ses accès qu'à comprendre ses méthodes, à identifier les vulnérabilités qu'il étudie avant qu'il ne les publie, ou à planter de fausses informations dans ses analyses pour orienter la communauté dans la mauvaise direction. Cette dernière motivation, l'influence de l'écosystème de threat intelligence lui-même, est une préoccupation croissante à mesure que la qualité des analyses publiées par des chercheurs indépendants influence les décisions de sécurité d'organisations du monde entier.
ChocoPoC s'inscrit dans une tradition de ciblage des chercheurs en sécurité qui a été mise en lumière à grande échelle par le groupe Lazarus, lié à la Corée du Nord, lors de campagnes documentées par Google Threat Analysis Group en 2021 et dans les années suivantes. Ces campagnes utilisaient une combinaison de faux comptes de réseaux sociaux se présentant comme des chercheurs en sécurité, et de code apparemment légitime publié sur GitHub ou partagé directement, pour infecter des professionnels de la sécurité qui travaillaient sur des recherches liées à des vulnérabilités d'intérêt pour le groupe.
L'objectif de Lazarus dans ces campagnes était multiple : accéder aux recherches en cours sur des vulnérabilités non divulguées, compromettre les machines des chercheurs pour obtenir des identifiants d'accès à des cibles d'intérêt national, et potentiellement influencer les recherches publiées sur des thèmes sensibles. La sophistication de ces campagnes, qui ont réussi à compromettre plusieurs chercheurs expérimentés malgré leur familiarité théorique avec ce type de menace, a démontré qu'une bonne connaissance intellectuelle d'une tactique d'attaque ne protège pas nécessairement contre elle dans la pratique.
ChocoPoC suit un modèle similaire mais semble avoir une motivation principalement financière plutôt que géopolitique, PureLogs Stealer étant un malware commercial disponible à la vente sur les marchés criminels plutôt qu'un outil développé par un groupe étatique pour des objectifs spécifiques. Cette différence de motivation n'atténue pas le risque : un stealer qui exfiltre les identifiants d'un chercheur peut alimenter des attaques contre ses clients, ses employeurs, ou ses contacts, indépendamment de qui l'a déployé.
L'un des aspects les plus difficiles à défendre contre les PoC piégés est que la plateforme d'hébergement, typiquement GitHub ou des dépôts similaires, est légitimement utilisée par des milliers de chercheurs pour partager du code bénin. Le fait qu'un dépôt soit hébergé sur GitHub ne confère aucune garantie sur la sécurité du code qu'il contient, mais l'association entre la plateforme et la légitimité est profondément ancrée dans les habitudes des professionnels de la sécurité qui l'utilisent quotidiennement.
Les comptes GitHub utilisés pour distribuer ChocoPoC imitent des profils de chercheurs en sécurité crédibles, avec des historiques de contribution, des biographies professionnelles, et parfois des connexions à de vrais chercheurs via le système de suivi de la plateforme. Cette construction d'une identité en ligne crédible sur une longue durée avant de l'utiliser pour une attaque est une technique d'ingénierie sociale appliquée à l'identité numérique plutôt qu'aux interactions téléphoniques ou par email.
La détection de ces dépôts malveillants avant qu'ils ne soient largement diffusés est difficile et repose souvent sur des chercheurs qui, en testant le code, remarquent des comportements anormaux et alertent la communauté. Ce processus de détection communautaire fonctionne mais avec un délai : entre la publication du PoC piégé et son retrait de la plateforme, des dizaines ou des centaines de personnes peuvent l'avoir téléchargé et exécuté.
PureLogs Stealer est un malware bien documenté dont les indicateurs de compromission sont disponibles dans les bases de données de threat intelligence publiques. Il se caractérise par des connexions sortantes vers des serveurs de commande et contrôle spécifiques, des modifications du registre Windows pour assurer sa persistance, et des accès à des chemins de fichiers prévisibles où les navigateurs populaires stockent leurs données de profil et leurs identifiants.
Les solutions de détection et de réponse aux endpoints modernes reconnaissent la plupart des variantes connues de PureLogs Stealer. La difficulté avec ChocoPoC est que le vecteur de livraison, un PoC exécuté délibérément par un utilisateur qui s'y attend, peut contourner les contrôles qui bloqueraient l'exécution automatique d'un fichier malveillant. L'utilisateur a lui-même accordé les permissions nécessaires en lançant le programme.
Les indicateurs de compromission à surveiller incluent les connexions réseau inhabituelles depuis les machines des membres de l'équipe de sécurité vers des domaines inconnus, les accès au répertoire AppData des navigateurs depuis des processus autres que le navigateur lui-même, et les modifications de la base de registre dans les clés Run et RunOnce associées à l'installation de logiciels non gérés. Ces comportements devraient déclencher des alertes dans les solutions EDR, mais seulement si les règles de détection couvrent les chemins spécifiques que PureLogs utilise dans ses variantes actuelles.
La meilleure protection contre les PoC piégés est l'exécution systématique de tout code externe dans un environnement isolé, une machine virtuelle dédiée sans accès aux ressources de production ou aux identifiants stockés, qui peut être détruite après chaque session de test. Cette pratique est connue de la quasi-totalité des chercheurs en sécurité et régulièrement recommandée, mais elle est souvent contournée par commodité, notamment lorsque le test nécessite un accès réseau spécifique ou des outils disponibles uniquement sur la machine principale.
La vérification de l'identité des auteurs d'un dépôt GitHub avant d'exécuter leur code est un second niveau de diligence. Un compte créé récemment, un historique de contributions concentré sur une courte période, ou un profil sans connexions avec d'autres membres reconnus de la communauté sont des signaux d'alerte qui ne garantissent pas que le code est malveillant, mais qui justifient une inspection plus approfondie avant l'exécution.
L'inspection du code source avant l'exécution est idéalement systématique pour tout PoC. Dans la pratique, cela représente un effort significatif pour du code complexe, mais un examen rapide des imports inhabituels, des connexions réseau non documentées, ou des appels à des fonctions d'écriture sur le système de fichiers dans des emplacements qui n'ont rien à voir avec la fonctionnalité déclarée du PoC sont des drapeaux rouges accessibles même sans une analyse complète du code.
Les équipes de sécurité qui incluent des chercheurs utilisant régulièrement des outils externes devraient traiter les machines de ces chercheurs avec le même niveau de surveillance que les systèmes exposés à Internet, sachant que leur usage quotidien les expose à un flux continu de code potentiellement non vérifié. Un incident sur la machine d'un chercheur qui a accès à des systèmes clients ou à des infrastructures critiques peut avoir des conséquences qui dépassent largement sa propre organisation.
ChocoPoC soulève une question plus large qui mérite d'être posée : que se passe-t-il lorsque les outils et les plateformes sur lesquels la communauté de la sécurité s'appuie pour comprendre les menaces deviennent eux-mêmes des vecteurs de menaces ? Les bases de données de PoC, les dépôts d'outils d'analyse de malware, les plateformes de partage d'indicateurs de compromission, les outils open source de test d'intrusion sont tous, par nature, des plateformes qui distribuent du code dont l'exécution a des effets intentionnellement agressifs sur les systèmes.
La frontière entre un outil de sécurité légitime et un outil malveillant est souvent déterminée par l'intention de celui qui le déploie et le contexte dans lequel il est utilisé, pas par les caractéristiques techniques du code lui-même. Les attaquants qui introduisent du code malveillant dans cet écosystème exploitent précisément cette ambiguïté, pariant que les professionnels qui utilisent régulièrement des outils agressifs dans leur travail auront une résistance réduite à exécuter du code qui ressemble à ce qu'ils utilisent quotidiennement.
La réponse à cette menace systémique n'est pas de cesser d'utiliser les ressources de la communauté de la sécurité, ce qui rendrait le travail de défense impossible. C'est de développer des habitudes et des procédures qui traitent tout code externe, aussi légitime qu'il semble, avec le niveau de vérification approprié au risque qu'il représente s'il est compromis. ChocoPoC est un rappel que la sophistication technique des professionnels de la sécurité ne les rend pas immunisés contre les techniques d'attaque qu'ils étudient. Elle les rend simplement des cibles plus intéressantes pour des attaquants qui ont la patience de construire une attaque à leur mesure.
Pour comprendre les conséquences d'une infection par ChocoPoC, il est utile de comprendre ce que PureLogs Stealer fait concrètement sur un système infecté et ce que les données qu'il exfiltre permettent à l'acheteur d'accomplir.
PureLogs Stealer est un malware de type infostealer disponible à la vente sur des marchés criminels, vendu soit comme logiciel en accès unique soit via un modèle d'abonnement qui inclut des mises à jour régulières permettant de contourner les signatures de détection les plus récentes. Cette disponibilité commerciale signifie que n'importe quel acteur criminel avec quelques centaines de dollars peut déployer PureLogs sans avoir les compétences pour développer lui-même un malware de ce type.
Une fois exécuté sur la machine infectée, PureLogs procède à une collecte systématique de données à partir de sources prévisibles. Les navigateurs populaires, Chrome, Firefox, Edge, Brave, et leurs variantes, stockent les identifiants de connexion dans des bases de données locales qui, bien que techniquement chiffrées, peuvent être déchiffrées par un processus s'exécutant avec les mêmes privilèges que l'utilisateur courant. PureLogs extrait ces identifiants pour tous les sites où le navigateur a proposé de sauvegarder un mot de passe, ce qui pour un chercheur en sécurité peut représenter des dizaines d'accès à des plateformes professionnelles différentes.
Les portefeuilles de cryptomonnaie, dont les fichiers de clés privées sont stockés localement sur la machine dans des emplacements connus des infostealers, sont une cible secondaire. Pour un chercheur en sécurité qui utilise des cryptomonnaies pour acheter l'accès à des services de threat intelligence sur le dark web ou pour des activités de recherche légitimes, cette exfiltration peut entraîner une perte financière directe en plus de la compromission des identifiants professionnels.
Les clients de messagerie installés localement, Outlook, Thunderbird, et leurs équivalents, exposent les emails archivés localement, y compris les correspondances sensibles avec des clients, des rapports d'incidents, et des discussions sur des vulnérabilités non divulguées. Pour un chercheur travaillant sur des vulnérabilités qu'il n'a pas encore publiées, cette exfiltration donne à l'attaquant accès à des informations qui ont une valeur immédiate sur les marchés des exploit brokers.
L'ensemble des données collectées est ensuite envoyé au serveur de commande et contrôle de l'attaquant, compressé et chiffré pour éviter la détection en transit. Ce processus d'exfiltration prend généralement quelques secondes à quelques minutes selon la quantité de données sur la machine, et est conçu pour être suffisamment rapide pour se terminer avant que l'utilisateur remarque quoi que ce soit d'inhabituel.
Les données collectées par PureLogs Stealer et les infostealers similaires ne restent généralement pas entre les mains de celui qui a déployé le malware. Elles sont vendues sur des marchés spécialisés dans les logs d'infostealers, où les acheteurs peuvent rechercher des entrées spécifiques par domaine d'entreprise, par type d'accès, ou par secteur géographique.
Ces marchés ont développé des interfaces de recherche sophistiquées qui permettent à un acheteur de spécifier exactement le type d'accès qu'il recherche. Un acteur cherchant à compromettre une organisation spécifique peut rechercher tous les logs contenant des identifiants pour le domaine de cette organisation. Un acteur cherchant des accès à des plateformes de threat intelligence peut filtrer par les URL de ces plateformes. Un acteur cherchant des identifiants de chercheurs en sécurité peut filtrer par des patterns d'URL caractéristiques des outils que ces professionnels utilisent.
Les données issues d'une infection de la machine d'un chercheur en sécurité ont une valeur potentiellement élevée sur ces marchés précisément parce que les professionnels de la sécurité ont accès à des types de ressources inhabituels : des plateformes de sandbox pour analyser des malwares, des accès à des bases de données d'indicateurs de compromission, des connexions à des environnements de test qui reproduisent des systèmes de production, et des identifiants pour des outils de sécurité qui, compromis, pourraient permettre à un attaquant de surveiller les défenses de clients multiples.
La surveillance des identifiants compromis sur ces marchés est une composante du threat intelligence qui a une pertinence directe pour les organisations dont les employés pourraient être ciblés par ChocoPoC. Savoir qu'un identifiant d'accès à un outil de sécurité interne est apparu sur un marché de logs d'infostealers avant qu'il ne soit utilisé dans une intrusion donne à l'organisation la possibilité de révoquer l'accès, forcer un changement de mot de passe, et enquêter sur la source de la compromission avant que l'attaquant ait eu l'occasion d'exploiter les données volées. Cette fenêtre d'action préventive est précisément ce que les équipes de sécurité les plus matures cherchent à maintenir ouverte.
Defendis surveille en continu le dark web et les forums criminels pour détecter les signaux d'alerte spécifiques à votre organisation : exposition d'identifiants, campagnes actives ciblant votre secteur, et indicateurs de compromission liés à votre infrastructure. Demandez une démonstration pour voir ce que nous voyons avant que cela ne vous atteigne.