文章总结: ChocoPoC事件披露攻击者通过伪装成漏洞PoC的代码仓库向安全研究员投递Python远程访问木马,利用安全行业在漏洞披露后急于寻找PoC验证的心理。攻击通过依赖链植入恶意代码,精准击中安全工作的日常流程。建议将陌生PoC视为不可信代码、建立独立沙箱验证、限制网络出站、审查依赖链、保护研究凭据并将研究机纳入安全监控。 综合评分: 90 文章分类: 供应链攻击,恶意软件,红队,安全运营
ChocoPoC 瞄准安全研究员:假的 PoC 仓库,真的是供应链攻击
原创
tcode tcode
字节脉搏实验室
2026年7月3日 10:59 北京
在小说阅读器读本章
去阅读
安全行业有一个非常真实的工作场景:新漏洞刚披露,研究员、红队、蓝队和安全厂商都在寻找公开 PoC,用来验证影响、编写检测规则、复核补丁效果。时间压力越大,越容易相信一个看起来“格式完整、代码正常、说明清楚”的仓库。
ChocoPoC 事件正是利用了这种压力。
YesWeHack 与 Sekoia 在 2026 年 7 月 1 日发布联合研究,披露攻击者通过伪装成漏洞 proof-of-concept 的代码仓库,向安全研究人员投递 Python 远程访问木马。BleepingComputer 在 7 月 1 日报道,多组武器化 PoC 仓库被发现用于投递 ChocoPoC;The Hacker News 在 7 月 2 日继续跟进,提醒研究人员不要运行可疑 PoC。
这类攻击最值得警惕的地方,不是它用了多么“新”的技术,而是它精准击中了安全工作的日常流程:找 PoC、装依赖、跑脚本、看结果。
核心事实
公开研究显示,ChocoPoC 伪装在与漏洞 PoC 相关的代码生态里,表面仓库可能看起来相对正常,真正的恶意逻辑则通过依赖链等方式进入执行环境。相关恶意程序被描述为具备远程访问、命令执行、敏感信息窃取等能力。
影响分析
ChocoPoC 的真正价值,在于提醒安全团队重新审视“研究环境”和“生产环境”的边界。
很多企业已经对生产系统上线、第三方软件引入、开源组件治理建立了流程,但研究员个人电脑、漏洞验证机、临时云主机、红队工具目录、CI 里的测试脚本,仍然可能处在灰色地带。它们不一定有严格准入,不一定有网络隔离,不一定有凭据最小化,也不一定纳入终端检测。
攻击者瞄准安全研究员并不新鲜。因为研究员机器上可能有漏洞样本、扫描器配置、客户资产范围、云访问令牌、SSH 密钥、浏览器会话、报告草稿和内部聊天记录。对攻击者来说,拿下一台研究机,可能比正面攻击企业边界更划算。
第一,把陌生 PoC 当作不可信代码,而不是“参考资料”。下载、安装依赖和执行脚本之前,先确认来源、提交历史、维护者身份、依赖变化和社区反馈。
第二,建立独立沙箱。漏洞验证应优先在一次性虚拟机、隔离容器或受控云环境中完成,避免在办公主机、主力开发机或保存长期凭据的环境中直接运行。
第三,限制网络出站。PoC 验证环境不应默认允许访问所有外部地址。能离线分析就离线,必须联网时也应记录并限制出站连接。
第四,做依赖审查。不要只看主脚本是否“干净”,还要看依赖包、安装脚本、构建脚本、二进制扩展和自动执行逻辑。对新发布、低下载量、维护者不明的依赖保持额外警惕。
第五,保护研究凭据。漏洞验证环境不要保存浏览器密码、云密钥、客户 VPN、生产 SSH 私钥和个人常用令牌。临时凭据要有短生命周期和最小权限。
第六,将研究机纳入安全监控。安全团队不能因为“这是研究用途”就放弃 EDR、日志、基线和隔离策略。越是会运行陌生代码的机器,越需要明确防护。
事实、推测与观点区分
事实:YesWeHack 与 Sekoia 披露了 ChocoPoC 针对漏洞研究生态的攻击;BleepingComputer 与 The Hacker News 在 2026 年 7 月 1 日至 7 月 2 日报道了该事件;公开资料称其通过伪装 PoC 与依赖链投递恶意能力。
推测:目前公开信息不足以判断所有受害者范围,也不应把每个可疑 PoC 都直接等同于同一攻击者操作。
观点:安全研究的速度很重要,但隔离、审查和凭据保护同样重要。越是热门漏洞,越要警惕“刚好有人发了可运行 PoC”的诱惑。
结语
ChocoPoC 给安全行业上了一堂反直觉的课:有时你以为自己下载的是用来验证攻击的 PoC,实际上你正在把攻击带进自己的环境。真正专业的研究流程,不是跑得最快,而是在跑得快的同时,知道哪里必须踩刹车。
关键来源
• YesWeHack,2026-07-01,How vuln researchers were repeatedly targeted by trojanised exploits:https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits
• BleepingComputer,2026-07-01 16:08 ET,New ChocoPoC malware targets researchers via trojanized PoC exploits:https://www.bleepingcomputer.com/news/security/new-chocopoc-malware-targets-researchers-via-trojanized-poc-exploits/
• The Hacker News,2026-07-02,New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos:https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.html
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:字节脉搏实验室 tcode tcode《ChocoPoC 瞄准安全研究员:假的 PoC 仓库,真的是供应链攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论