vulnérabilités

Les ChocoPoCs mettent les défenseurs au menu des cybercriminels 

Des chercheurs de YesWeHack et Sekoia documentent une campagne qui cible les équipes chargées d'analyser les nouvelles vulnérabilités. L'attaque expose une faiblesse plus profonde : la chaîne d'approvisionnement de la cybersécurité elle-même. 

Publié et mis à jour le 6 juillet 20263 min de lecture
Les ChocoPoCs mettent les défenseurs au menu des cybercriminels 

Les défenseurs ont voulu croquer les nouvelles vulnérabilités au petit-déjeuner. Les attaquants avaient déjà glissé des ChocoPoCs dans le bol. Derrière ce nom gourmand se cache une campagne documentée par YesWeHack et Sekoia qui cible les chercheurs en vulnérabilités, les pentesters et les éditeurs de solutions de détection. Leur enquête relie au moins sept faux dépôts GitHub à une même opération active depuis fin 2025. Tous reprennent le même scénario. Une preuve de concept d'apparence légitime invite les équipes de sécurité à vérifier leur exposition à une vulnérabilité fraîchement divulguée. Le code malveillant n'apparaît qu'au moment de l'installation d'un composant secondaire. Une fois exécuté, il dérobe des identifiants, récupère des données sensibles et ouvre un accès à la machine de la victime. L'intérêt de ChocoPoCs dépasse pourtant la découverte d'un nouveau malware. Cette campagne montre que la course engagée entre la publication d'une faille et sa correction ouvre un nouveau terrain de chasse. Les attaquants ne s'attaquent plus seulement aux entreprises. Les défenseurs figurent au menu. 

Quand l'urgence s'invite au petit-déjeuner

À chaque divulgation d'une vulnérabilité critique, le même rituel se répète. Les équipes sécurité doivent déterminer, parfois en quelques heures, si leur organisation figure parmi les victimes potentielles. Elles se tournent alors vers les preuves de concept publiées par la communauté afin de reproduire la faille, valider leur exposition et adapter leurs outils de détection. Les auteurs de ChocoPoCs ont compris la valeur de cette mécanique. Leur enquête montre que plusieurs vagues de diffusion suivent de près la publication de vulnérabilités très médiatisées. Les pics de téléchargement des composants malveillants coïncident avec des séquences où l'ensemble de l'écosystème cyber concentre son attention sur les mêmes CVE. Les attaquants ne cherchent donc pas à prendre les défenseurs de vitesse. Ils les attendent au buffet. Dans cette course, la pression ne laisse guère le temps de vérifier chaque ingrédient. Elle crée les conditions idéales pour glisser un composant piégé dans une recette que tout le monde s'apprête à reproduire.  

Les chercheurs figurent désormais au menu 

Alors, pourquoi viser un chercheur plutôt qu'une entreprise ? Tout simplement parce qu'un chercheur ouvre souvent davantage de portes. Pentesters, éditeurs de solutions de sécurité ou spécialistes de la veille manipulent au quotidien des identifiants privilégiés, des rapports confidentiels, des environnements clients et, parfois, des vulnérabilités avant même leur correction. Compromettre l'un de ces profils offre une moisson bien plus riche qu'un poste isolé. Les chercheurs relient plusieurs opérations conduites entre fin 2025 et 2026. Les comptes GitHub, PyPI et Mapbox changent au fil des campagnes. Les infrastructures évoluent. Les dépôts disparaissent puis réapparaissent sous d'autres identités. En revanche, les mêmes marqueurs reviennent. Les mêmes dépendances piégées. Les mêmes modes opératoires. Les mêmes services cloud détournés pour masquer les communications du malware. Les auteurs évoquent une double attaque de la chaîne d'approvisionnement. Le premier hameçon vise le chercheur. Le second menace les outils de tests d’intrusion (pentest), les scanners de vulnérabilités et, par ricochet, toutes les organisations qui leur accordent leur confiance.  

Changer de régime 

In fine, ChocoPoCs ne condamne ni les PoC publics ni les communautés open source. Les chercheurs rappellent que les démonstrations de vulnérabilités malveillantes existent depuis longtemps. La rupture tient au mode de distribution. Le code malveillant ne s'affiche plus au premier regard. Il se dissémine dans des dépendances secondaires, s'appuie sur des plateformes reconnues et attend le bon contexte pour agir. Cette évolution déplace la responsabilité des directions de la cybersécurité. Corriger vite ne suffit plus. Vérifier l'origine des outils mobilisés pour qualifier une vulnérabilité devient tout aussi stratégique. Pendant des années, les RSSI ont appris à sécuriser les logiciels qu'ils déploient et les fournisseurs avec lesquels ils travaillent. ChocoPoCs leur rappelle qu'il reste un maillon à surveiller. Celui qui prépare, chaque matin, les outils censés leur dire où se trouve le risque.