HackerNews 编译，转载请注明出处：

恶意 PyPI 包详情

网络安全研究人员已标记 Python 软件包索引（PyPI，Python Package Index）仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能，同时暗藏类似后门的隐秘功能，能在 Windows 系统上投放额外有效负载（恶意代码）。

这个名为 “soopsocks” 的欺诈性软件包，在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传，而该用户账号也正是在当天创建的。

JFrog（软件安全公司）在一份分析报告中表示：“该软件包在提供（代理）功能的同时，还表现出针对 Windows 平台的后门代理服务器行为，会通过 VBScript（Visual Basic 脚本）或可执行文件版本，以自动化方式完成安装流程。”

其中的可执行文件 “_AUTORUN.EXE” 是一个 Go 语言编译文件。除了包含宣传中提及的 SOCKS5 代理实现代码外，它还被设计用于运行 PowerShell 脚本、设置防火墙规则，并以提升后的权限重新启动自身。此外，该文件还会执行基础的系统与网络侦察操作，例如获取 Internet Explorer 浏览器的安全设置和 Windows 系统的安装日期，并将这些信息泄露至一个硬编码（固定写入代码中）的 Discord 网络钩子（webhook，用于接收外部数据的接口）。

...