恶意PyPI包伪装SOCKS5代理工具攻击Windows平台

JFrog的安全研究团队发现了一个名为SoopSocks的恶意PyPI包，该包伪装成合法的SOCKS5代理工具，同时在Windows系统上秘密植入后门。

该软件包利用自动安装、高级持久化技术和实时网络侦察来建立隐蔽的出口通道，使组织网络面临重大风险。

在监控PyPI仓库的供应链威胁时，JFrog研究人员标记了SoopSocks（XRAY-725599），因为它具有异常广泛的权限并包含嵌入的Discord webhook URL。

虽然宣传为启动SOCKS5代理并向webhook报告服务器详细信息的简单工具，但深入分析显示，SoopSocks实际上是一个武器化的后门代理，使攻击者能够通过受感染的主机传输流量。

SoopSocks版本演变

• v0.1.0–v0.1.2：引入了基于Python的基本SOCKS5服务器。
• v0.2.0–v0.2.4：捆绑了从Go编译的_autorun.exe和Windows服务支持。
• v0.2.5–v0.2.6：添加了传统的VBScript（_autorun.vbs）部署机制。
• v0.2.7：合并为单个可执行安装程序，简化了攻击向量。

SoopSocks传播方式

1. _autorun.exe（主要载体） 一个Go编译的PE32+可执行文件，隐藏其窗口，将PowerShell执行策略设置为Bypass，抑制错误，并执行脚本以在C:\Program Files\socks5svc\socks5svc.exe下将自身安装为"SoopSocksSvc"。该服务以SYSTEM权限运行，并通过Windows防火墙规则打开TCP/UDP端口1080。

2. _autorun.vbs（传统载体） 版本0.2.5和0.2.6使用VBScript下载便携式Python发行版，创建PowerShell引导脚本，通过UAC提升权限，并在%TEMP%中静默安装SoopSocks后启动它。

3. 直接Python模块安装 用户通过pip install soopsocks pywin32安装时会触发内置持久化：服务安装、防火墙规则配置和计划任务回退。

持久化和权限提升

SoopSocks通过以下方式确保持续性和隐蔽性：

• Windows服务：以SYSTEM权限自动运行。
• 计划任务：如果服务安装失败，“SoopSocksAuto"在启动和登录时触发。
• UAC绕过：自动PowerShell提升以绕过策略限制。
• 防火墙规则：自动在端口1080上创建入站TCP/UDP规则。

网络侦察功能

安装后，SoopSocks不仅中继任意TCP和UDP流量，还收集详细的网络遥测数据：

• 通过本地路由检查和HTTP API发现LAN和公共IP。
• 使用STUN协议进行NAT穿越指纹识别。
• 主机分析，包括Internet Explorer安全设置和Windows安装日期。

每30秒，该软件包向硬编码的Discord webhook发送JSON嵌入，包含主机名、本地和公共IP地址以及连接类型等字段，为攻击者提供对网络出口的持续洞察。

技术深度分析

Go可执行文件镜像了Python源代码结构（main, socks5/internal/*模块），并依赖github.com/kardianos/service进行Windows服务管理。关键组件包括：

• SERVER.PY / Go代理模块：实现RFC-1928 CONNECT和UDP ASSOCIATE命令，无需认证。
• CLI.PY / 编排脚本：管理防火墙规则、服务安装和计划任务。
• DISCORD.PY / C2模块：格式化并向Discord发送网络遥测数据。
• EGRESS.PY / 侦察模块：聚合IP和NAT数据。
• FIREWALL.PY：通过PowerShell或netsh自动创建规则。

缓解措施

组织应审计Python依赖项中的意外webhook URL或特权操作。在代码仓库上实施严格的白名单，对服务安装强制执行最小权限，并监控到Discord和不常见主机名的出站连接。

禁用通过VBScript自动安装Python模块并限制PowerShell执行策略可以进一步减少攻击面。

SoopSocks例证了开源软件包如何被武器化攻击Windows环境，强调了持续供应链警惕和代理部署运行时监控的迫切需要。