A segurança da cadeia de suprimentos de software foi novamente colocada à prova com a descoberta do soopsocks, um pacote malicioso no repositório Python Package Index (PyPI) que se apresentava como uma ferramenta legítima de proxy SOCKS5, mas na realidade implementava um backdoor sofisticado direcionado a sistemas Windows.
O Que é o Soopsocks?
O soopsocks foi identificado como um pacote Python malicioso que prometia criar um serviço de proxy SOCKS5, mas escondia funcionalidades perigosas de backdoor para sistemas Windows, utilizando processos de instalação automatizados via VBScript e executáveis compilados. Neste artigo do blog Dolutech, vamos explorar em detalhes como essa ameaça operava e como você pode proteger seus sistemas.
Antes de ser removido em 29 de setembro de 2025, o pacote acumulou 2.653 downloads, potencialmente comprometendo milhares de sistemas ao redor do mundo. A conta do usuário que fez o upload, identificada como “soodalpie”, foi criada no mesmo dia da publicação do pacote, um padrão típico de ataques de cadeia de suprimentos.
Como o Ataque Funcionava
Múltiplos Vetores de Instalação
A Dolutech identificou que o soopsocks evoluiu significativamente ao longo de suas versões. O malware demonstrou evolução notável através de seu histórico de versões, progredindo de implementações básicas de SOCKS5 nas versões 0.1.0 até 0.1.2 para mecanismos sofisticados de implantação incorporando integração de serviços Windows, instaladores VBScript e executáveis compilados em Go.
O pacote utilizava três vetores principais de instalação:
1. Executável _AUTORUN.EXE: Um executável PE32+ compilado em GO que executa com flags de janela oculta e roda scripts PowerShell. Este binário continha webhook do Discord hardcoded e scripts PowerShell que executavam automaticamente, incluindo regras de firewall.
2. Script VBScript (_autorun.vbs): As versões 0.2.5 e 0.2.6 usavam um VBScript que baixava uma distribuição Python portátil, criava um script bootstrap PowerShell, elevava via UAC e instalava o SoopSocks silenciosamente em %TEMP% antes de lançá-lo.
3. Instalação Direta via pip: Usuários que instalavam via pip install soopsocks pywin32 acionavam mecanismos de persistência embutidos, incluindo instalação de serviço, configuração de regras de firewall e tarefas agendadas como fallback.
Mecanismos de Persistência
O serviço, denominado SoopSocksSvc, configurava inicialização automática com permissões elevadas, garantindo operação contínua através de reinicializações do sistema. Além disso, a estratégia de persistência se estendia além da instalação do serviço para incluir configuração automática de regras de firewall que abriam comunicações TCP e UDP de entrada na porta 1080.
Nós observamos que o malware implementava um plano de persistência em múltiplas camadas:
- Serviço Windows: Executado automaticamente com privilégios SYSTEM
- Tarefa Agendada: “SoopSocksAuto” acionada na inicialização do sistema e no logon do usuário caso a criação do serviço falhasse
- Bypass UAC: Elevação automatizada via PowerShell para contornar restrições de política
- Regras de Firewall: Criação automática de regras TCP/UDP de entrada na porta 1080
Capacidades de Reconhecimento e Exfiltração
Uma vez instalado, o SoopSocks não apenas retransmitia tráfego TCP e UDP arbitrário, mas também coletava telemetria de rede detalhada através de descoberta de IP LAN e público via inspeção de rotas locais e APIs HTTP.
O malware realizava fingerprinting do host coletando:
- Configurações de segurança do Internet Explorer
- Datas de instalação do Windows
- Informações de rede via servidor STUN do Google
- Endereços IP através de múltiplos serviços (api.ipify.org, ifconfig.me/ip)
Todas essas informações eram empacotadas em embeds JSON e enviadas a cada 30 segundos para um webhook do Discord hardcoded, permitindo aos atacantes monitorar e controlar dispositivos comprometidos remotamente.
Indicadores de Comprometimento (IOCs)
Para ajudar equipes de segurança na detecção, compilamos os principais IOCs identificados:
Webhook Discord:
hxxps[:]//discord[.]com/api/webhooks/1418298773330985154/_I7EzXpGMundYt8jCvlDdzi9INsBkBq7NSDM74iV0Y_flSzQZ5LxYP0lZtXFzHCkRtKRHashes de Arquivo:
_autorun.vbs: cab9d3c35a38314ce6b7e49fc976a9fe3fe07dbee8eafe89913fa308798007bb
pp_bootstrap.ps1: 2f5c9da5b1935a5c43c1240354021699c4f97d53fd63a71de22b73f479667445
Tráfego de Rede:
- POST HTTPS regular para webhook Discord
- Protocolo SOCKS5 na porta 1080
- Requisições HTTP para serviços de detecção de IP
- Tráfego do protocolo STUN
Artefatos do Sistema:
- Serviço: “SoopSocksSvc” (“SoopSocks Python Service”)
- Tarefa Agendada: “SoopSocksAuto”
- Regras de Firewall: “SoopSocks TCP 1080” e “SoopSocks UDP 1080”
Como Mitigar e Proteger Seus Sistemas
Detecção Imediata
A remediação imediata deve isolar hosts infectados, bloquear conexões com o webhook Discord e domínios do instalador, remover o serviço SoopSocks e tarefas, e revogar as regras de firewall.
Passos de Remediação:
- Isolamento de Sistemas Comprometidos:
- Desconectar imediatamente da rede sistemas suspeitos
- Executar varredura completa com antivírus atualizado
- Remoção de Artefatos:
# Remover serviço Windows
sc delete SoopSocksSvc
# Remover tarefa agendada
schtasks /delete /tn "SoopSocksAuto" /f
# Remover regras de firewall
netsh advfirewall firewall delete rule name="SoopSocks TCP 1080"
netsh advfirewall firewall delete rule name="SoopSocks UDP 1080"- Bloqueio de Comunicações:
- Adicionar webhook Discord à lista de bloqueio
- Monitorar tráfego na porta 1080
- Implementar regras de firewall de saída
Proteção Preventiva Contra Ataques de Supply Chain
Ataques de cadeia de suprimentos exploram a confiança que desenvolvedores depositam em bibliotecas de código aberto, permitindo que atores maliciosos injetem código prejudicial em projetos de software.
Boas Práticas Recomendadas pela Dolutech:
- Verificação de Pacotes:
- Sempre verificar a reputação e histórico do mantenedor
- Revisar data de criação da conta (contas novas são suspeitas)
- Examinar número de downloads e tempo de existência do pacote
- Verificar se há typosquatting (nomes similares a pacotes populares)
- Ferramentas de Segurança:
- Implementar scanners de pacotes maliciosos (Socket, Snyk, Prisma Cloud)
- Utilizar regras YARA para detecção de padrões maliciosos
- Configurar SIEM para monitoramento de atividades suspeitas
- Gestão de Dependências: Fixar ou pinar dependências em versões explícitas com checksums (como SHA256 ou commits git), especialmente para processos de build e release. Minimizar o número total de dependências sempre que possível.
- Monitoramento de Rede:
- Monitorar tráfego SOCKS5 na porta 1080
- Detectar comunicações com webhooks Discord
- Alertar sobre uso do protocolo STUN
- Identificar requisições para serviços de detecção de IP externos
- Controles de Ambiente:
- Usar ambientes isolados (sandboxes) para testar novos pacotes
- Implementar políticas de least privilege
- Manter registros de auditoria de instalações de pacotes
Exemplo de Regra YARA para Detecção
Equipes de segurança são aconselhadas a implementar assinaturas YARA direcionadas aos binários SoopSocks, padrões de instalador VBScript e a URL do webhook Discord para detectar e neutralizar esta ameaça.
rule SoopSocks_Malware {
meta:
description = "Detecta pacote malicioso SoopSocks"
author = "Dolutech Security Research"
date = "2025-10-05"
strings:
$discord_webhook = "discord.com/api/webhooks/1418298773330985154"
$service_name = "SoopSocksSvc" ascii wide
$task_name = "SoopSocksAuto" ascii wide
$fw_rule_tcp = "SoopSocks TCP 1080" ascii wide
$fw_rule_udp = "SoopSocks UDP 1080" ascii wide
condition:
any of them
}O Contexto Mais Amplo dos Ataques ao PyPI
Este incidente ecoa um padrão preocupante de ataques de cadeia de suprimentos direcionados ao PyPI. Apenas meses antes, em março de 2025, pesquisadores descobriram 20 outros pacotes maliciosos que roubavam credenciais de nuvem de serviços como AWS e Alibaba, acumulando mais de 14.100 downloads antes da remoção.
A frequência crescente desses ataques demonstra que o PyPI continua sendo um alvo atraente para criminosos cibernéticos. A facilidade de upload de pacotes, combinada com a confiança que desenvolvedores depositam no ecossistema, cria um ambiente propício para distribuição de malware.
Lições Aprendidas
O caso do soopsocks nos ensina lições valiosas:
- Funcionalidade Legítima Não Garante Segurança: O fato do pacote realmente implementar um proxy SOCKS5 funcional reduziu o limiar de suspeita, pois desenvolvedores que o testaram viram que “funcionava” e raramente verificavam os componentes extras.
- Evolução Constante: A história do SoopSocks é uma que infelizmente conhecemos bem: um pacote PyPI que promete utilidade – um proxy SOCKS5 – mas na realidade introduz uma implementação maliciosa bem orquestrada. Os atacantes não são improvisados; constroem cadeias de ações projetadas para alcançar persistência, reduzir ruído e estabelecer canais estáveis de comando e controle.
- Defesa em Profundidade é Essencial: Nenhuma camada única de segurança é suficiente. É necessário combinar verificação de pacotes, monitoramento de rede, análise comportamental e resposta rápida a incidentes.
Conclusão
A descoberta do soopsocks reforça a necessidade crítica de vigilância contínua na cadeia de suprimentos de software. Com 2.653 sistemas potencialmente comprometidos antes da remoção, este incidente demonstra o alcance que um único pacote malicioso pode ter.
Organizações devem implementar múltiplas camadas de defesa, desde a verificação rigorosa de dependências até o monitoramento contínuo de comportamentos anômalos em seus ambientes. A adoção de práticas recomendadas de segurança, ferramentas automatizadas de detecção e a educação constante das equipes de desenvolvimento são fundamentais para mitigar esses riscos.
Nós da Dolutech continuaremos monitorando o ecossistema de código aberto e reportando descobertas de pacotes maliciosos para ajudar a comunidade a se manter protegida contra ataques de cadeia de suprimentos cada vez mais sofisticados.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
