Malicious PyPI Package Mimics as SOCKS5 Proxy Tool Attacking Windows Platforms
2025/10/01 CyberSecurityNews — Python Package Index (PyPI) に混入した、高度なバックドア機能を持つパッケージが、正規の SOCKS5 プロキシツールに擬態しながら、Windows システムを標的にしている。無害なネットワーク・ユーティリティを装うことで、XRAY-725599 として追跡されている SoopSocks パッケージは、SOCKS5 プロキシ・サービスを作成し、コンフィグが可能な Discord Webhook へ向けて、サーバ情報を報告する。
その裏側に潜むのは、侵害した Windows マシンに対して、永続的なバックドア・アクセスを確立するために設計された、複雑な多段階の攻撃フレームワークである。
このマルウェアは、リリースを重ねるごとに驚くべき進化を示している。バージョン 0.1.0〜0.1.2 で実現されていた基本的な SOCKS5 実装から成長し、Windows サービス統合/VBScript インストーラー/コンパイル済み Go 実行ファイルを組み込む、高度なデプロイメント・メカニズムへと変貌している。
VBScript と実行ファイルのデプロイメント・ベクターを活用するマルウェアは、自動インストール・プロセスを通じてステルス機能を強化し、セキュリティ制御を回避しながら、目的とする方向へと進化している。
JFrog Security Research のアナリストは、オープンソース・リポジトリの定期的な監視の最中に、この悪意あるパッケージを特定し、さらなる詳細調査を必要とする疑わしい挙動を認識した。
.webp)
このパッケージの欺瞞的な性質は、SOCKS5 プロキシ機能にある。このプロキシは、正当な機能を提供する一方で、秘密の通信チャネルと永続的なアクセス・メカニズムを確立する。
このパッケージは、昇格された権限で自身を Windows サービスとしてインストールし、ファイアウォール・ルールを自動的にコンフィグし、C2 (Command and Control) インフラとの継続的な通信を維持する。
そこで採用される永続化メカニズムには、スケジュール・タスク/Windows サービス/自動スタートアップ・コンフィグなどがあり、システムの再起動やユーザー・セッションを超えて存続する。
ステルス・インストールと永続化メカニズム
現在の SoopSocks バージョンでは、”_autorun.exe” 実行ファイルを中心とした高度なインストール・メカニズムが採用されている。この “_autorun.exe” は、Go ソースコードからコンパイルされた PE32+ バイナリであり、最小限のユーザー操作でデプロイメント・プロセス全体をオーケストレーションする。
この実行ファイルは、主要なオーケストレーション・メカニズムとして PowerShell を利用し、ユーザーによる検出と表示を回避するために設計された、複数の手法を実装している。そのインストール・プロセスでは、標準的なセキュリティ制御とログ記録メカニズムを回避するように設計されたパラメータにより、PowerShell が起動される。
このマルウェアは実行ポリシーを設定してバイパスを試行するが、検出フックを回避するためにプロファイル読み込みをスキップし、ユーザー・アラートを防ぐためにエラー出力を抑制し、インストール・シーケンス全体を通して、対話型プロンプトを非表示にする。
このコンフィグレーションによりマルウェアは、ユーザー通知や管理者アラートをトリガーすることなく、複数のデプロイメント段階を実行できる。
powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden
このマルウェアの動作が開始すると、”C:\Program Files\socks5svc\socks5svc.exe” に自分自身をコピーし、Go サービス・ライブラリ “github.com/kardianos/service” により複数の Windows サービスをインストールすることで、永続性が確立される。
SoopSocksSvc というサービスは、昇格した権限で自動起動を設定し、システム再起動後の継続的な動作を可能にする。
さらに、このマルウェアは、システム起動時およびユーザー・ログオン・イベント時に実行される、SoopSocksAuto というスケジュール・タスクを通じて、フォールバック・メカニズムを実装する。
この永続性の戦略には、サービスのインストールに加えて、TCP 受信/UDP 通信をポート 1080 で許可するための自動化されたファイアウォール・ルールも含まれる。
SoopSocks TCP 1080/SoopSocks UDP 1080 と名付けられた、これらのルールは、SOCKS5 プロキシ機能を容易にすると同時に、侵害システムを介した無制限のネットワーク・アクセスを攻撃者に提供する。
このマルウェアは、UAC バイパス・メカニズムを通じて権限を自動昇格し、標準ユーザー・アカウントを持つシステムでも確実に展開されるため、ユーザー組織の環境にとって重大なセキュリティ上の懸念事項となる。
この侵害の入口は、サプライチェーンからの混入と権限管理の欠陥に起因するのでしょうか? PyPI に紛れ込んだ擬態パッケージが、PowerShell 実行ポリシー回避や、UAC バイパス、サービス登録やスケジュール・タスクによる永続化などの機能を取り込むことで、正規の機能を隠れ蓑にして持続的なアクセスを確立し得る点が問題です。PyPI に限らず、各種の OSS リポジトリが、新たなサプライチェーン攻撃の足場として悪用され続けています。ご利用のチームは、ご注意ください。よろしければ、PyPI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.