Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) que promete oferecer um serviço de proxy SOCKS5, mas na verdade esconde uma funcionalidade similar a uma backdoor para instalar payloads adicionais em sistemas Windows.
O pacote enganoso, chamado soopsocks, foi baixado 2.653 vezes antes de ser removido.
Ele foi originalmente enviado por um usuário identificado como “soodalpie” em 26 de setembro de 2025, data também da criação da conta.
Segundo análise da JFrog, “apesar de fornecer a funcionalidade proposta, ele atua como um proxy backdoor direcionado a plataformas Windows, usando processos automáticos de instalação via VBScript ou um executável”.
O arquivo executável (“_AUTORUN.EXE”) é um programa compilado em Go que, além de implementar o SOCKS5 conforme anunciado, é projetado para executar scripts PowerShell, configurar regras de firewall e reiniciar a si mesmo com privilégios elevados.
Ele também realiza uma varredura básica do sistema e da rede, coletando informações como configurações de segurança do Internet Explorer e data de instalação do Windows, enviando esses dados para um webhook do Discord embutido no código.
Já o script Visual Basic (“_AUTORUN.VBS”), acionado pelo pacote nas versões 0.2.5 e 0.2.6, roda um script PowerShell que baixa um arquivo ZIP contendo o binário legítimo do Python de um domínio externo ("install[.]soop[.]space:6969").
Em seguida, cria um script em lote para instalar o pacote via “pip install” e executá-lo.
O script PowerShell então invoca esse arquivo em lote, o que faz com que o pacote Python seja executado.
Ele se eleva a privilégios administrativos (quando ainda não possui), configura regras de firewall para permitir comunicação UDP e TCP pela porta 1080, instala o serviço, mantém conexão com o webhook do Discord e cria persistência por meio de uma tarefa agendada para reiniciar automaticamente após o boot do sistema.
“soopsocks é um proxy SOCKS5 muito bem estruturado com suporte completo para bootstrap no Windows”, afirma JFrog.
“No entanto, pelo comportamento observado durante a execução — incluindo a criação de regras de firewall, elevação de privilégios, múltiplos comandos PowerShell e a transição de scripts Python simples para um executável em Go com parâmetros fixos e capacidades de reconhecimento — fica evidente sua natureza maliciosa, especialmente pela comunicação com um webhook do Discord predefinido.”
A divulgação dessa ameaça ocorre em meio a preocupações levantadas pelos mantenedores de pacotes npm sobre a ausência de fluxos nativos de autenticação de dois fatores (2FA) para CI/CD, suporte a workflows self-hosted para publicação confiável e gerenciamento de tokens, após mudanças abrangentes promovidas pelo GitHub, motivadas pelo aumento de ataques à cadeia de suprimentos de software, segundo a empresa Socket.
Nesta semana, o GitHub anunciou que revogará em breve todos os tokens legados de publishers npm.
Além disso, os tokens granularizados para npm terão agora validade padrão de sete dias (reduzida dos anteriores 30 dias) e máximo de 90 dias, antes ilimitado.
“Tokens de longa duração são um vetor principal para ataques à cadeia de suprimentos. Quando tokens são comprometidos, períodos mais curtos limitam a janela de exposição e reduzem os danos potenciais”, explicou o GitHub.
“Essa mudança alinha o npm às melhores práticas de segurança já adotadas pela indústria.”
No mesmo contexto, a empresa de segurança da cadeia de suprimentos lançou a ferramenta gratuita Socket Firewall, que bloqueia pacotes maliciosos no momento da instalação em ecossistemas npm, Python e Rust, oferecendo aos desenvolvedores maior proteção contra ameaças.
“O Socket Firewall não protege apenas contra dependências problemáticas diretamente utilizadas, mas também impede que o gerenciador de pacotes baixe qualquer dependência transitiva conhecida por ser maliciosa”, completou a companhia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...