Nhóm nghiên cứu bảo mật của JFrog đã phát hiện một gói PyPI độc hại có tên SoopSocks. Gói này giả mạo tiện ích proxy SOCKS5 hợp pháp nhưng lại lén lút cấy backdoor trên các hệ thống Windows. Đây là một mã độc SoopSocks nguy hiểm.

Gói độc hại này sử dụng cài đặt tự động, kỹ thuật duy trì quyền truy cập nâng cao và trinh sát mạng thời gian thực. Mục tiêu là thiết lập một kênh thoát dữ liệu bí mật, đặt các mạng lưới tổ chức vào rủi ro đáng kể.

Phân Tích Kỹ Thuật Mã Độc SoopSocks

Trong quá trình giám sát kho lưu trữ PyPI để tìm kiếm các mối đe dọa chuỗi cung ứng, các nhà nghiên cứu JFrog đã gắn cờ SoopSocks (XRAY-725599).

Lý do là vì gói này yêu cầu đặc quyền quá rộng và chứa URL Discord webhook nhúng bất thường.

Mặc dù được quảng cáo là một công cụ đơn giản để tạo proxy SOCKS5 và báo cáo chi tiết máy chủ cho một webhook, phân tích sâu hơn cho thấy SoopSocks hoạt động như một proxy backdoor được vũ khí hóa.

Điều này cho phép kẻ tấn công chuyển hướng lưu lượng truy cập thông qua các máy chủ bị xâm nhập.

Sự Phát Triển Các Phiên Bản Của Mã Độc

• v0.1.0–v0.1.2: Giới thiệu máy chủ SOCKS5 cơ bản dựa trên Python.
• v0.2.0–v0.2.4: Đã đóng gói _autorun.exe và hỗ trợ dịch vụ Windows được biên dịch từ Go.
• v0.2.5–v0.2.6: Bổ sung cơ chế triển khai VBScript cũ (_autorun.vbs).
• v0.2.7: Hợp nhất thành một trình cài đặt thực thi duy nhất, tối ưu hóa vector tấn công của mã độc SoopSocks.

Cơ Chế Lây Nhiễm và Xâm Nhập Hệ Thống

SoopSocks lây lan qua ba phương pháp chính để xâm nhập hệ thống.

1. _autorun.exe (Vector Chính)

Đây là một tệp thực thi PE32+ được biên dịch bằng Go, có khả năng ẩn cửa sổ.

Nó đặt chính sách thực thi PowerShell thành Bypass, chặn lỗi và thực thi script để tự cài đặt dưới dạng dịch vụ “SoopSocksSvc”.

Dịch vụ này nằm tại C:Program Filessocks5svcsocks5svc.exe và chạy với đặc quyền SYSTEM.

Nó cũng mở cổng TCP/UDP 1080 thông qua các quy tắc của Windows Firewall.

# Lệnh thực thi mẫu (ví dụ) cho _autorun.exe:
# PowerShell -ExecutionPolicy Bypass -File "pathtoinstall_script.ps1"
# SC CREATE "SoopSocksSvc" BINPATH= "C:Program Filessocks5svcsocks5svc.exe" START= auto
# netsh advfirewall firewall add rule name="SoopSocks_Port_1080" dir=in action=allow protocol=TCP localport=1080
# netsh advfirewall firewall add rule name="SoopSocks_Port_1080_UDP" dir=in action=allow protocol=UDP localport=1080

2. _autorun.vbs (Vector Cũ)

Các phiên bản 0.2.5 và 0.2.6 sử dụng VBScript để tải xuống một bản phân phối Python di động.

Script này tạo một bootstrap script PowerShell, nâng quyền qua UAC và cài đặt SoopSocks một cách âm thầm trong thư mục %TEMP% trước khi khởi chạy.

3. Cài Đặt Module Python Trực Tiếp

Người dùng cài đặt thông qua lệnh pip install soopsocks pywin32 sẽ kích hoạt các cơ chế duy trì quyền truy cập tích hợp.

Các cơ chế này bao gồm cài đặt dịch vụ, cấu hình quy tắc tường lửa và thiết lập tác vụ theo lịch trình dự phòng.

# Lệnh cài đặt trực tiếp:
pip install soopsocks pywin32

Các Chỉ Dấu Xâm Nhập (IOCs)

Các tổ chức nên theo dõi các chỉ dấu xâm nhập sau để phát hiện mã độc SoopSocks:

• Tên gói PyPI độc hại:soopsocks
• Tên dịch vụ Windows:SoopSocksSvc
• Đường dẫn cài đặt mặc định:C:Program Filessocks5svcsocks5svc.exe
• Cổng mạng được mở:TCP/UDP port 1080
• Tệp thực thi cài đặt:_autorun.exe, _autorun.vbs
• URL Discord webhook: Sự hiện diện của các URL Discord webhook lạ trong các thành phần hệ thống hoặc lưu lượng mạng.

Chức Năng Của Mã Độc SoopSocks

SoopSocks đảm bảo khả năng tồn tại và tàng hình thông qua các cơ chế này. Một khi được cài đặt, nó không chỉ chuyển tiếp lưu lượng TCP và UDP tùy ý mà còn thu thập dữ liệu đo từ xa mạng chi tiết.

Thu Thập Dữ Liệu Đo Từ Xa Mạng

• Thông tin về hệ điều hành và kiến trúc.
• Thông tin CPU và RAM.
• Tất cả các địa chỉ IP cục bộ và công cộng.
• Chi tiết về kết nối mạng.
• Các quy tắc tường lửa hiện có.

Kiến Trúc Tệp Thực Thi Go

Tệp thực thi Go phản ánh cấu trúc mã nguồn Python (main, socks5/internal/* modules) và dựa vào thư viện github.com/kardianos/service để quản lý dịch vụ Windows.

Các thành phần chính bao gồm việc thiết lập và kiểm soát các chức năng của dịch vụ độc hại.

Các Biện Pháp Phòng Ngừa và Giảm Thiểu Mối Đe Dọa

Các tổ chức nên kiểm tra các phụ thuộc Python để tìm các URL webhook không mong muốn hoặc các hoạt động đòi hỏi đặc quyền cao.

Để giảm thiểu mối đe dọa chuỗi cung ứng từ các gói như mã độc SoopSocks, cần thực hiện các biện pháp sau:

• Thực hiện whitelisting nghiêm ngặt trên các kho lưu trữ mã nguồn.
• Thực thi nguyên tắc least privilege (đặc quyền tối thiểu) cho việc cài đặt dịch vụ.
• Giám sát các kết nối đi đến Discord và các tên máy chủ không phổ biến.
• Vô hiệu hóa cài đặt module Python tự động qua VBScript.
• Hạn chế các chính sách thực thi PowerShell có thể làm giảm bề mặt tấn công của hệ thống bị xâm nhập.

SoopSocks là một ví dụ điển hình về cách các gói mã nguồn mở có thể bị vũ khí hóa để tấn công các môi trường Windows.

Điều này nhấn mạnh sự cần thiết nghiêm trọng của việc cảnh giác liên tục đối với chuỗi cung ứng phần mềm và giám sát thời gian chạy các triển khai proxy để đảm bảo bảo mật mạng.