Des pirates ont caché un cheval de Troie dans du code partagé sur GitHub pour révéler des failles de sécurité. Une technique qui vise directement les chercheurs en cybersécurité.

C’est une affaire qui débute le 25 juin 2026.

Ce jour-là, l’équipe de la plateforme de cybersécurité YesWeHack reçoit une notification sur GitHub. Un internaute souhaite leur signaler deux « PoC », des petits programmes qui démontrent qu’une faille de sécurité est réellement exploitable.

La cible est prometteuse, la vulnérabilité concernerait Joomla, un plugin très utilisé pour créer des sites web. Comme souvent quand une faille de cette gravité est révélée, les chercheurs s’activent au plus vite pour comprendre comment elle fonctionne et alerter les entreprises concernées.

Les hackers, bien conscients de cette course contre la montre, ont décidé de cacher un piège dans l’un des deux PoC.

Mis en lumière le 1er juillet 2026 par l’équipe de YesWeHack, il a été débusqué avant l’exécution du code malveillant, grâce à un examen en amont des dépendances, ces bouts de logiciels tiers dont un programme a besoin pour fonctionner.

Les chercheurs de Sekoia, également au cœur de cette enquête, ont baptisé cette campagne « Don't Eat the ChocoPoC ».
Les chercheurs de Sekoia, également au cœur de cette enquête, ont baptisé cette campagne « Don’t Eat the ChocoPoC ». // Source : Sekoia

Un cheval de Troie caché dans les dépendances

En analysant le code de « skytext », les chercheurs de YesWeHack et de la société française Sekoia ont découvert qu’il s’agissait en réalité d’un malware truffé de techniques pour échapper à la détection. Vérification qu’aucun outil d’analyse n’est en train de l’observer, dissimulation de son fonctionnement réel, et surtout une astuce cruciale : le piège ne se déclenche que si le fichier exécuté porte un nom typique d’un PoC, comme « exploit_poc.py ». Autrement dit, le logiciel reste invisible tant qu’on ne l’utilise pas exactement comme prévu par les attaquants.

Une fois activé, le programme va chercher la suite de son code sur un service détourné de son usage habituel : Mapbox, une plateforme de cartes en ligne.

En se faisant passer pour du trafic normal vers ce service, les pirates évitent d’éveiller les soupçons des outils de sécurité. Le logiciel final, baptisé ChocoPoC, est un cheval de Troie d’accès à distance (RAT) : il peut voler les mots de passe et cookies stockés dans les navigateurs, exécuter des commandes à distance, ou encore récupérer des fichiers sensibles sur l’ordinateur infecté.

Une campagne qui dure depuis des mois

En creusant, les deux équipes ont retrouvé au moins sept dépôts GitHub piégés de la même façon, ciblant des failles très médiatisées qui touchent des produits comme FortiWeb, Ivanti, Check Point ou encore Joomla.

Une campagne similaire, avec un code très proche mais des paquets différents, remonte déjà à la fin 2025. Le paquet « skytext » a été téléchargé environ 2 400 fois, avec des pics coïncidant précisément avec l’annonce de failles critiques, signe que les attaquants ciblent bien le moment où les chercheurs se précipitent pour analyser les nouvelles vulnérabilités.

Les comptes GitHub et PyPI utilisés pour diffuser ces pièges semblent avoir été créés spécialement pour l’occasion, voire compromis à l’aide d’identifiants volés. Une manière, pour les attaquants, de brouiller les pistes et de continuer leur campagne même quand certains comptes sont bannis.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !