Cybersecurity-onderzoekers hebben een kwaadaardig pakket gemarkeerd op de Python Package Index (PYPI) -repository die beweert de mogelijkheid te bieden om een Socks5-proxy-service te creëren, terwijl ze ook een heimelijke achterdeur-achtige functionaliteit biedt om extra payloads op Windows Systems te laten vallen.
Het misleidende pakket, genaamd Soopsocks, trok in totaal 2.653 downloads voordat het werd verwijderd. Het werd eerst geüpload door een gebruiker genaamd “Soodalpie” op 26 september 2025, dezelfde datum waarop de account werd aangemaakt.
“Terwijl het deze mogelijkheden biedt, vertoont het gedrag als een backdoor proxyserver die richt op Windows -platforms, met behulp van geautomatiseerde installatieprocessen via VBScript of een uitvoerbare versie,” zei JFRog in een analyse.
Het uitvoerbare bestand (“_autorun.exe”) is een gecompileerd GO -bestand dat, naast het opnemen van een socks5 -implementatie zoals geadverteerd, ook is ontworpen om PowerShell -scripts uit te voeren, firewallregels in te stellen en zichzelf opnieuw te starten met verhoogde machtigingen. Het voert ook basissysteem en netwerkverkenning uit, inclusief de beveiligingsinstellingen van Internet Explorer en Windows-installatiedatum, en exfiltreert de informatie naar een hard gecodeerde discord-webhook.
“_Autorun.vbs,” Het visuele basiscript dat wordt gelanceerd door het Python -pakket in versies 0.2.5 en 0.2.6, is ook in staat om een PowerShell -script uit te voeren, dat vervolgens een ZIP -bestand downloadt met het legitieme python Binary van een externe domein (“Install.soop (.) Ruimte: 6969”)) en 6969 “)) en 6969”) “)) ruimte: 6969”)) en 6969 “)) ruimte: 6969”) “) en 6969”) “)
The PowerShell script then invokes the batch script, causing the Python package to be executed, which, in turn, elevates itself to run with administrative privileges (if not already), configure firewall rules to allow UDP and TCP communication via port 1080, install as a service, maintain communication with a Discord webhook, and set up persistence on the host using a scheduled task to make sure it automatically starts upon a system reboot.
“SOOPSOCKS is een goed ontworpen Socks5-proxy met volledige bootstrap Windows-ondersteuning,” zei Jfrog. “Gezien de manier waarop het uitvoert en acties die het tijdens runtime inneemt, vertoont het echter tekenen van kwaadaardige activiteiten, zoals firewallregels, verhoogde machtigingen, verschillende PowerShell -opdrachten en de overdracht van eenvoudige, configureerbare Python -scripts naar een Go -uitvoerbaar bestand met hardgecodeerde parameters, versie met verkenningscapaciteiten naar een predete Discord Webhook.”
De openbaarmaking komt omdat de onderhouders van NPM-pakket hun bezorgdheid hebben geuit met betrekking tot een gebrek aan native 2FA-workflows voor CI/CD, zelf gehost workflow-ondersteuning voor vertrouwde publicaties en tokenbeheer na ingrijpende veranderingen die GitHub door GitHub hebben geïntroduceerd als reactie op een groeiende golf van softwaretoevoerketenaanvallen, zei Socket, Socket.
Eerder deze week zei GitHub dat het binnenkort alle legacy -tokens zal intrekken voor NPM -uitgevers en dat alle granulaire toegangstokens voor NPM een standaardafstand hebben van zeven dagen (daling van 30 dagen) en een maximale afloop van 90 dagen, die eerder onbeperkt waren.
“Langlevende tokens zijn een primaire vector voor aanvallen van supply chain. Wanneer tokens worden gecompromitteerd, beperken kortere levensduur het venster van blootstelling en verminderen potentiële schade,” zei het. “Deze verandering brengt NPM in overeenstemming met best practices voor beveiliging die al in de industrie zijn aangenomen.”
Het komt ook wanneer het Software Supply Chain Security Firm een gratis tool heeft uitgebracht genaamd Socket Firewall die kwaadaardige pakketten blokkeert tijdens het installeren in NPM, Python en Rust Ecosystems, waardoor ontwikkelaars de mogelijkheid hebben om hun omgevingen te beschermen tegen potentiële bedreigingen.
“Socket-firewall is niet beperkt tot het beschermen van u tegen problematische afhankelijkheden op topniveau. Het zal ook voorkomen dat de pakketbeheerder elke transitieve afhankelijkheid opneemt waarvan bekend is dat het kwaadaardig is,” voegde het bedrijf eraan toe.
