Pacote malicioso no PyPI oferece proxy SOCKS5 e backdoor

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado ‘soopsocks’, que prometia criar um serviço de proxy SOCKS5, mas na verdade funcionava como um backdoor para instalar cargas adicionais em sistemas Windows. O pacote, que foi baixado 2.653 vezes antes de ser removido, foi carregado por um usuário que criou a conta no mesmo dia. A análise da JFrog revelou que o pacote utilizava um executável (’_AUTORUN.EXE’) que, além de implementar o SOCKS5, executava scripts PowerShell, configurava regras de firewall e se relançava com permissões elevadas. O pacote também realizava reconhecimento do sistema e exfiltrava informações para um webhook do Discord. O script Visual Basic (’_AUTORUN.VBS’) presente nas versões 0.2.5 e 0.2.6 do pacote também era capaz de baixar um arquivo ZIP com um binário Python legítimo, instalando-o de forma automatizada. A situação ocorre em um contexto de crescente preocupação com a segurança da cadeia de suprimentos de software, levando a mudanças nas políticas de tokens de acesso no GitHub e ao lançamento de ferramentas como o Socket Firewall, que visa bloquear pacotes maliciosos durante a instalação.

Fonte: https://thehackernews.com/2025/10/alert-malicious-pypi-package-soopsocks.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
02/10/2025 • Risco: ALTO
MALWARE

Pacote malicioso no PyPI oferece proxy SOCKS5 e backdoor

RESUMO EXECUTIVO
O incidente com o pacote soopsocks destaca a vulnerabilidade de sistemas que dependem de repositórios de código aberto. A capacidade do malware de operar como um backdoor e coletar informações sensíveis representa um risco significativo para a segurança das informações e a conformidade regulatória.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais custos associados à recuperação de sistemas comprometidos.
Operacional
Comprometimento de sistemas e exfiltração de dados.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

2.653 downloads do pacote malicioso. Indicador
Pacote foi criado e carregado no mesmo dia. Contexto BR
Uso de um webhook do Discord para exfiltração de dados. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há instalação do pacote soopsocks em sistemas.
2 Remover o pacote e monitorar atividades suspeitas em sistemas afetados.
3 Monitorar logs de firewall e comunicação com webhooks não autorizados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos, especialmente com pacotes populares que podem ser comprometidos.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação à exfiltração de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).