В репозитории Python Package Index (PyPI) был обнаружен и удален вредоносный пакет под названием
Пакет
Атака реализовывалась через многоступенчатый процесс. В зависимости от версии пакета (
Исполняемый файл
В ходе своей работы вредоносное ПО собирало системную информацию, включая настройки безопасности Internet Explorer и дату установки Windows. Собранные данные отправлялись на жестко закодированный веб-хук в Discord, который использовался злоумышленниками в качестве командного центра.
Цепочка заражения, инициированная PowerShell, включала загрузку ZIP-архива с внешнего домена
Для обеспечения постоянного присутствия в системе вредоносное ПО повышало свои привилегии до уровня администратора. Оно настраивало правила брандмауэра для разрешения входящего и исходящего трафика по протоколам UDP и TCP на порту 1080. Затем зловред регистрировал себя в качестве службы Windows и создавал запланированную задачу, гарантируя свой автоматический запуск при каждой перезагрузке системы.
Исследователи из JFrog охарактеризовали
На фоне подобных инцидентов усиливаются меры по защите цепочек поставок программного обеспечения. Компания GitHub анонсировала, что в скором времени отзовет все устаревшие токены для издателей пакетов в репозитории npm. Эта мера направлена на повышение безопасности экосистемы.
Новая политика GitHub для npm сокращает срок действия токенов по умолчанию с 30 до 7 дней. Максимальный срок действия токена теперь ограничен 90 днями, тогда как ранее он мог быть неограниченным. В GitHub заявили: «Токены с длительным сроком действия являются основным вектором атак на цепочки поставок». Сокращение времени их жизни уменьшает окно уязвимости в случае компрометации.
Для противодействия таким угрозам компания Socket, занимающаяся безопасностью цепочек поставок, выпустила бесплатный инструмент под названием Socket Firewall. Его основная функция — блокировка вредоносных пакетов непосредственно во время их установки. Инструмент поддерживает экосистемы npm, Python и Rust, защищая как от прямых, так и от транзитивных зависимостей (зависимостей других зависимостей).
soopsocks. До своего удаления он успел заразить 2653 системы. Пакет был загружен 26 сентября 2025 года пользователем soodalpie, который создал свою учетную запись в тот же день. Анализ угрозы был проведен специалистами компании JFrog. Изображение носит иллюстративный характер
Пакет
soopsocks маскировался под легитимный инструмент для создания прокси-сервиса SOCKS5. Однако его истинной целью была установка скрытого бэкдора на системы под управлением Windows. Эта вредоносная функциональность позволяла злоумышленникам похищать данные и обеспечивать постоянное присутствие в зараженной системе. Атака реализовывалась через многоступенчатый процесс. В зависимости от версии пакета (
0.2.5 или 0.2.6) первоначальное заражение происходило либо через VBScript-файл (_AUTORUN.VBS), либо через скомпилированный на языке Go исполняемый файл (_AUTORUN.EXE). VBScript запускал PowerShell-скрипт для дальнейшего развертывания инфекции. Исполняемый файл
_AUTORUN.EXE обладал двойной функциональностью. Он содержал как заявленную реализацию SOCKS5, так и вредоносный код. Этот код выполнял системную и сетевую разведку, запускал PowerShell-скрипты, изменял правила брандмауэра и перезапускал себя с повышенными администраторскими правами. В ходе своей работы вредоносное ПО собирало системную информацию, включая настройки безопасности Internet Explorer и дату установки Windows. Собранные данные отправлялись на жестко закодированный веб-хук в Discord, который использовался злоумышленниками в качестве командного центра.
Цепочка заражения, инициированная PowerShell, включала загрузку ZIP-архива с внешнего домена
install.soop[.]space:6969. Архив содержал легитимный бинарный файл Python. После этого скрипт генерировал и запускал пакетный файл, который устанавливал вредоносный пакет с помощью команды pip install. Для обеспечения постоянного присутствия в системе вредоносное ПО повышало свои привилегии до уровня администратора. Оно настраивало правила брандмауэра для разрешения входящего и исходящего трафика по протоколам UDP и TCP на порту 1080. Затем зловред регистрировал себя в качестве службы Windows и создавал запланированную задачу, гарантируя свой автоматический запуск при каждой перезагрузке системы.
Исследователи из JFrog охарактеризовали
soopsocks как «хорошо спроектированный SOCKS5-прокси с полной поддержкой начальной загрузки Windows». Они отметили, что вредоносная природа пакета очевидна из-за его действий: создания правил брандмауэра, повышения привилегий и эксфильтрации данных. Также было установлено, что пакет эволюционировал от простых Python-скриптов до более сложного исполняемого файла на Go. На фоне подобных инцидентов усиливаются меры по защите цепочек поставок программного обеспечения. Компания GitHub анонсировала, что в скором времени отзовет все устаревшие токены для издателей пакетов в репозитории npm. Эта мера направлена на повышение безопасности экосистемы.
Новая политика GitHub для npm сокращает срок действия токенов по умолчанию с 30 до 7 дней. Максимальный срок действия токена теперь ограничен 90 днями, тогда как ранее он мог быть неограниченным. В GitHub заявили: «Токены с длительным сроком действия являются основным вектором атак на цепочки поставок». Сокращение времени их жизни уменьшает окно уязвимости в случае компрометации.
Для противодействия таким угрозам компания Socket, занимающаяся безопасностью цепочек поставок, выпустила бесплатный инструмент под названием Socket Firewall. Его основная функция — блокировка вредоносных пакетов непосредственно во время их установки. Инструмент поддерживает экосистемы npm, Python и Rust, защищая как от прямых, так и от транзитивных зависимостей (зависимостей других зависимостей).
