Главная

  1. Страницы
  2. Главная
Обложка статьи

PyPI-пакет-шулер

Новости · 05.10.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

Зашёл на PyPI как честный пак: «сделаю вам SOCKS5-прокси» — вышел как полноправный троян с географией скачек. Пакет под громким именем soopsocks, залитый юзером «soodalpie» 26 сентября 2025 года, успел собрать 2 653 загрузки, прежде чем модераторы подняли красный флаг и сняли его с инвентаря. Казалось бы — мелочь, но вот что внутри: легитимная функциональность соседствует с поведением «backdoor-like»: автозапуск через VBScript/EXE, эскалация прав, firewall-фриковщина и отчётность прямо в Discord-вебхук.

Автор пакета явно решил не выбирать между удобством и злодейством: в комплекте шёл _AUTORUN.EXE (Go-сборка), который не только репрезентует SOCKS5, но и умеет запускать PowerShell-скрипты, ковырять системную и сетевую телегу (IE-параметры, дата установки Windows), ставить правила в фаерволле и релоадиться с повышенными привилегиями. Пакеты версий 0.2.5/0.2.6 запускали _AUTORUN.VBS, который подтягивал «легит» Python-бинари с внешнего домена, клепал батник для pip install и заводил всё это как службу с автозапуском. Вишенка на торте — сливы телеметрии на жёстко прописанный Discord-вебхук.

Это уже не «штука, что делает прокси» — это «штука, что делает прокси и остаётся жить у тебя в системе». Механика типична для supply-chain мудакства: доверенная экосистема (PyPI) + новый аккаунт + заманчивое описание = много загрузок, пока кто-то не заметит запах гари. Разница в том, что тут авторы перемешали Python-обёртку и нативный исполняемый код на Go, поэтому модный пакет быстро перестаёт быть просто библиотекой и превращается в полноценную платформу для пост-эксплуатации.

Пара важных наблюдений без паники, но с холодным умом: по поведению soopsocks выглядит «продвинуто» — автозапуск, поднятие прав, firewall-правила, сервисы и persistence через таск-планер. И да, отправка инфы на Discord — трюк не новый, но удобный для операторов: дешёвая инфраструктура, простая фильтрация и ни к чему лишнему не привязывается. Всё это делает пакет удобным для массовых кампаний и опасным для тех, кто ставит пакеты без проверки.

Что с этим делать? Не будем тут учить, как лечить системы — но можно напомнить простую истину: доверяй, но проверяй — особенно новичков с заманчивыми обещалками. Софт-цепочки ломаются не эпично — они ломаются привычно: через забытые проверки, старые токены и автоматические CI, что тянут пакеты без пересмотра. Новые инструменты блокировки и фильтрации пакетов (включая решение, которое ловит пакеты на этапе установки) помогают, но лучший фильтр — это вдумчивость девов и кратность 2FA/краткоживущих токенов.

И напоследок — маленький саркастичный совет для рынка: если пакет обещает «прокси + полный контроль над системой» — вряд ли продавец собирается делиться чаем.

Берегите себя и свои нервы.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Smishing Triad

Читать полностью →
Обложка

Сколько стоит обучение на специалиста по кибербезопасности? Разбираем цены и возможности

Читать полностью →
Обложка

Видит ли твой SOC ChatGPT?

Читать полностью →