警报：恶意 PyPI 软件包 soopsocks 在被删除前已感染 2,653 个系统

网络安全研究人员在 Python 软件包索引 (PyPI) 存储库中标记了一个恶意软件包，该软件包声称能够提供创建SOCKS5代理服务的能力，同时还提供类似后门的隐秘功能，以在 Windows 系统上投放额外的有效负载。

这个名为“soopsocks”的欺骗性软件包在被删除前共被下载了2653次。它最初是由一个名为“ soodalpie ”的用户于2025年9月26日（与该账户的创建日期相同）上传的。

JFrog在分析中表示： “在提供此功能的同时，它表现出针对 Windows 平台的后门代理服务器的行为，通过 VBScript 或可执行版本使用自动安装过程。”

该可执行文件（“_AUTORUN.EXE”）是一个经过编译的 Go 文件，除了包含宣传的 SOCKS5 实现外，还可以运行 PowerShell 脚本、设置防火墙规则并以提升的权限重新启动自身。它还会执行基本的系统和网络侦察，包括 Internet Explorer 安全设置和 Windows 安装日期，并将信息泄露到硬编码的 Discord webhook。

DFIR 保留服务
“_AUTORUN.VBS”是 Python 0.2.5 和 0.2.6 版本软件包启动的 Visual Basic 脚本，它还能够运行 PowerShell 脚本，该脚本随后会从外部域（“install.soop[.]space:6969”）下载包含合法 Python 二进制文件的 ZIP 文件，并生成一个批处理脚本，该脚本配置为使用“pip install”命令安装软件包并运行它。

然后，PowerShell 脚本调用批处理脚本，导致 Python 包被执行，进而提升自身以使用管理权限运行（如果尚未运行），配置防火墙规则以允许通过端口 1080 进行 UDP 和 TCP 通信，作为服务安装，与 Discord webhook 保持通信，并使用计划任务在主机上设置持久性，以确保它在系统重启时自动启动。


JFrog 表示：“soopsocks 是一款设计精良的 SOCKS5 代理，全面支持 Windows 引导程序。然而，鉴于其运行方式和运行时的操作，它显示出恶意活动的迹象，例如防火墙规则、提升的权限、各种 PowerShell 命令，以及从简单的可配置 Python 脚本到带有硬编码参数的 Go 可执行文件的传输，以及对预设的 Discord webhook 进行侦察的功能。”

Socket 表示，在 GitHub 为应对日益严重的软件供应链攻击浪潮而推出全面变革之后，npm 软件包维护人员对缺乏 CI/CD 的原生 2FA 工作流、可信发布的自托管工作流支持以及令牌管理表示担忧，因此披露了这一消息。

本周早些时候，GitHub 表示将很快撤销 npm 发布者的所有旧令牌，并且所有 npm 细粒度访问令牌的默认有效期为 7 天（从 30 天减少），最长有效期为 90 天，而以前是无限制的。

CIS 构建套件
长寿命令牌是供应链攻击的主要载体。当令牌被盗用时，较短的生命周期可以限制暴露窗口并降低潜在损害。这一变化使 npm 符合整个行业已经采用的安全最佳实践。

与此同时，该软件供应链安全公司还发布了一款名为 Socket Firewall 的免费工具，该工具可以在 npm、Python 和 Rust 生态系统中安装时阻止恶意包，使开发人员能够保护他们的环境免受潜在威胁。

该公司补充道：“套接字防火墙不仅限于保护您免受有问题的顶级依赖项的侵害。它还可以阻止包管理器获取任何已知的恶意传递依赖项。”