Pacote do PyPI finge ser ferramenta de proxy SOCKS5 e ataca sistemas Windows

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Fonte: https://cyberpress.org/pypi-socks5-proxy-malware/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
01/10/2025 • Risco: CRITICO
MALWARE

Pacote do PyPI finge ser ferramenta de proxy SOCKS5 e ataca sistemas Windows

RESUMO EXECUTIVO
O SoopSocks representa uma ameaça significativa para a segurança de redes corporativas, com a capacidade de comprometer dados e permitir acesso não autorizado. A exploração de sistemas Windows através de um pacote malicioso no PyPI exige atenção imediata para evitar consequências graves.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Comprometimento de dados e controle de rede em sistemas afetados.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

Pacote retirado do PyPI em 29 de setembro de 2025. Indicador
Escuta na porta 1080 sem autenticação. Contexto BR
Envio de dados a cada 30 segundos para um webhook do Discord. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença do pacote SoopSocks e seus componentes em sistemas.
2 Isolar hosts infectados e bloquear conexões ao webhook do Discord.
3 Monitorar tráfego na porta 1080 e atividades relacionadas ao serviço SoopSocks.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de backdoors em sistemas críticos, que podem comprometer a segurança e a privacidade de dados sensíveis.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).