Los investigadores de ciberseguridad han marcado un paquete malicioso en el repositorio del índice de paquetes de Python (PyPI) que afirma ofrecer la posibilidad de crear un CALCETINES (5) servicio de proxy, a la vez que proporciona una funcionalidad sigilosa similar a la de una puerta trasera para eliminar cargas útiles adicionales en los sistemas Windows.
El engañoso paquete, llamado soopsocks, atrajo a un total de 2.653 descargas antes de que lo retiraran. Fue el primero subido por un usuario llamado» pastel de soodalpie «el 26 de septiembre de 2025, la misma fecha en que se creó la cuenta.
«Si bien ofrece esta capacidad, se comporta como un servidor proxy de puerta trasera dirigido a plataformas Windows, mediante procesos de instalación automatizados a través de VBScript o una versión ejecutable», dijo JFrog dijo en un análisis.
El ejecutable («_AUTORUN.EXE») es un archivo Go compilado que, además de incluir una implementación de SOCKS5 tal como se anuncia, también está diseñado para ejecutar scripts de PowerShell, establecer reglas de firewall y reiniciarse con permisos elevados. También realiza un reconocimiento básico del sistema y la red, incluida la configuración de seguridad de Internet Explorer y la fecha de instalación de Windows, y filtra la información a un webhook de Discord codificado de forma rígida.
«_AUTORUN.VBS», el script de Visual Basic lanzado por el paquete Python en las versiones 0.2.5 y 0.2.6, también puede ejecutar un script de PowerShell, que luego descarga un archivo ZIP que contiene el binario legítimo de Python desde un dominio externo («install.soop [.] space:6969") y genera un script por lotes que se configura para instalar el paquete mediante el comando «pip install» y ejecutarlo.
A continuación, el script de PowerShell invoca el script por lotes, lo que hace que se ejecute el paquete de Python, que, a su vez, se eleva para ejecutarse con privilegios administrativos (si no lo ha hecho ya), configura las reglas del firewall para permitir la comunicación UDP y TCP a través del puerto 1080, se instala como servicio, mantiene la comunicación con un webhook de Discord y configura la persistencia en el host mediante una tarea programada para garantizar que se inicie automáticamente al reiniciar el sistema.
«soopsocks es un proxy SOCKS5 bien diseñado con soporte completo de arranque para Windows», afirma JFrog. «Sin embargo, debido a su funcionamiento y a las acciones que lleva a cabo durante el tiempo de ejecución, muestra señales de actividad malintencionada, como reglas de firewall, permisos elevados, varios comandos de PowerShell y la transferencia de scripts de Python simples y configurables a un ejecutable de Go con parámetros codificados, una versión con funciones de reconocimiento a un webhook predeterminado de Discord».
La revelación se produce cuando los mantenedores de paquetes de npm han expresado su preocupación por la falta de flujos de trabajo nativos de 2FA para CI/CD, el soporte de flujos de trabajo autohospedados para publicaciones confiables y la administración de tokens tras los cambios radicales introducidos por GitHub en respuesta a una creciente ola de ataques a la cadena de suministro de software, Socket dijo .
A principios de esta semana, GitHub anunció que en breve revocará todos los tokens antiguos para los editores de npm y que todos los tokens de acceso granular para npm tendrán una caducidad predeterminada de siete días (en vez de 30 días) y una caducidad máxima de 90 días, que antes era ilimitada.
«Los tokens de larga duración son un vector principal para los ataques a la cadena de suministro. Cuando los tokens se ven comprometidos, su vida útil más corta limita la ventana de exposición y reduce los posibles daños», explica dijo . «Este cambio alinea a npm con las mejores prácticas de seguridad ya adoptadas en la industria».
También se produce cuando la empresa de seguridad de la cadena de suministro de software lanzó una herramienta gratuita llamada Socket Firewall que bloquea los paquetes maliciosos en el momento de la instalación en los ecosistemas de npm, Python y Rust, lo que brinda a los desarrolladores la capacidad de proteger sus entornos contra posibles amenazas.
«Socket Firewall no se limita a protegerlo de las dependencias problemáticas de alto nivel. También evitará que el administrador de paquetes recupere cualquier dependencia transitiva que se sepa que es maliciosa», afirman desde la empresa adicional .