- Published on
PyPI Malicioso Infecta 2.653 Sistemas Antes Remoção
- Authors
- Name
- Bot
Alerta: Pacote Malicioso soopsocks no PyPI Infecta 2.653 Sistemas Antes da Remoção
Pesquisadores de segurança cibernética identificaram um pacote malicioso no repositório Python Package Index (PyPI) que se apresentava como uma ferramenta para criar serviços proxy SOCKS5, mas na verdade funcionava como um backdoor para distribuir payloads adicionais em sistemas Windows.
O pacote enganoso, chamado "soopsocks", foi baixado 2.653 vezes antes de ser removido. Foi publicado em 26 de setembro de 2025 por um usuário chamado "soodalpie", criado na mesma data.
Funcionalidades Maliciosas
O pacote executa um arquivo "_AUTORUN.EXE" compilado em Go que, além da implementação SOCKS5 prometida, também:
- Executa scripts PowerShell
- Configura regras de firewall
- Relança-se com permissões elevadas
- Realiza reconhecimento de sistema e rede
- Exfiltrar informações para um webhook do Discord
A versão 0.2.5 e 0.2.6 também inclui um script VBS que baixa um arquivo ZIP contendo o binário Python legítimo e gera um script batch para instalar e executar o pacote.
Persistência e Infecção
O malware configura persistência no sistema através de:
- Configuração de regras de firewall para permitir comunicação na porta 1080
- Instalação como serviço
- Criação de tarefa agendada para inicialização automática após reinicialização
Contexto de Segurança
Esta descoberta ocorre em meio a preocupações crescentes sobre segurança na cadeia de suprimentos de software. O GitHub anunciou mudanças para fortalecer a segurança do npm, incluindo:
- Revogação de tokens legados
- Expiração padrão de 7 dias para tokens (reduzida de 30 dias)
- Limite máximo de 90 dias para tokens
A empresa Socket também lançou uma ferramenta gratuita chamada "Socket Firewall" que bloqueia pacotes maliciosos durante a instalação nos ecossistemas npm, Python e Rust.