soopsocks adlı kötü amaçlı PyPI paketi, SOCKS5 proxy hizmeti sunarken Windows sistemlerine arka planda zararlı yükler bırakıyor. 26 Eylül 2025 tarihinde soodalpie kullanıcısı tarafından yayımlanan paket, kaldırılmadan önce 2.653 kez indirildi.
Arka Kapı ve Yükseltilmiş İzinler
JFrog analizlerine göre, paket Windows platformlarında otomatik kurulum sırasında VBScript ve yürütülebilir dosyalar aracılığıyla arka kapı işlevi görüyor. “_AUTORUN.EXE” adlı Go ile derlenmiş yürütülebilir dosya, PowerShell betikleri çalıştırarak güvenlik duvarı kuralları oluşturuyor, kendini yönetici haklarıyla yeniden başlatıyor ve sistem ile ağ keşfi yapıyor. Toplanan bilgiler, sabit kodlanmış Discord webhook’una gönderiliyor.
Çalışma Mekanizması ve Kalıcılık
Python paketinin 0.2.5 ve 0.2.6 sürümlerinde bulunan Visual Basic Script “_AUTORUN.VBS”, harici bir kaynaktan meşru Python ikili dosyasını içeren ZIP dosyasını indirip kurulum yapıyor. Paket, yönetici ayrıcalıklarıyla çalışarak 1080 portunda UDP ve TCP iletişimine izin veren güvenlik duvarı kuralları oluşturuyor, hizmet olarak kuruluyor ve sistem yeniden başlatıldığında otomatik başlatma için zamanlanmış görev ekliyor.
Güvenlik Endişeleri ve Önlemler
JFrog, soopsocks’un tam özellikli bir SOCKS5 proxy olduğunu ancak yürütme sırasında kötü amaçlı faaliyetler gerçekleştirdiğini belirtti. Bu durum, yazılım tedarik zinciri saldırılarının artışıyla birlikte GitHub ve npm tarafından token yönetimi ve erişim süreleri konusunda yapılan sıkı düzenlemelerle paralel ilerliyor. GitHub, npm yayıncılarının eski tokenlarını iptal edip erişim tokenlarının süresini kısaltarak riskleri azaltmayı hedefliyor.
Socket Firewall ile Koruma
Yazılım tedarik zinciri güvenliği alanında faaliyet gösteren Socket firması, npm, Python ve Rust ekosistemlerinde kötü amaçlı paketleri yükleme aşamasında engelleyen ücretsiz Socket Firewall aracını duyurdu. Bu araç, sadece doğrudan değil, aynı zamanda geçişli kötü amaçlı bağımlılıkları da engelleyerek geliştiricilerin ortamlarını korumaya yardımcı oluyor.