Los investigadores de ciberseguridad han marcado un paquete malicioso en el repositorio del índice de paquetes de Python (PYPI) que afirma ofrecer la capacidad de crear un Calcetines5 Servicio proxy, al tiempo que proporciona una funcionalidad sigilosa de puerta trasera para soltar cargas útiles adicionales en los sistemas de Windows.
El paquete engañoso, llamado Soopsocks, atrajo un total de 2,653 descargas antes de que fuera derribado. Fue el primero cargado por un usuario nombrado «sodalpie«El 26 de septiembre de 2025, la misma fecha en que se creó la cuenta.
«Si bien proporciona esta capacidad, exhibe comportamiento como un servidor proxy de puerta trasera dirigida a las plataformas de Windows, utilizando procesos de instalación automatizados a través de VBScript o una versión ejecutable», JFrog dicho en un análisis.
El ejecutable («_autorun.exe») es un archivo GO compilado que, además de incluir una implementación de calcetines5 como se anuncia, también está diseñado para ejecutar scripts de PowerShell, establecer reglas de firewall y relanzarse con permisos elevados. También lleva a cabo un reconocimiento básico del sistema y la red, incluida la configuración de seguridad de Internet Explorer y la fecha de instalación de Windows, y exfiltra la información a un webhook de discords codificado.
«_Autorun.vbs», el script de Visual Basic lanzado por el paquete Python en las versiones 0.2.5 y 0.2.6, también es capaz de ejecutar un script de PowerShell, que luego descarga un archivo zip que contiene el binario legítimo de Python de un dominio externo («Instell.Soop.Soop.Soop.[.]Espacio: 6969 «) y genera un script por lotes que está configurado para instalar el paquete utilizando el comando» Pip Instale «y ejecutarlo.
El script de PowerShell luego invoca el script por lotes, haciendo que el paquete de Python se ejecute, que, a su vez, se eleva para ejecutarse con privilegios administrativos (si no es que no)), configure las reglas de firewall para permitir la comunicación UDP y TCP a través del puerto 1080, instalar como un servicio, mantener la comunicación con un webhook de transmisión y configurar la persistencia en el host utilizando una tarea programada para asegurarse automáticamente de un sistema.
«Soopsocks es un proxy de calcetines5 bien diseñado con soporte completo de ventanas de arranque», dijo JFrog. «Sin embargo, dada la forma en que funciona y las acciones que se necesitan durante el tiempo de ejecución, muestra signos de actividad maliciosa, como reglas de firewall, permisos elevados, varios comandos de PowerShell y la transferencia de secuencias de comandos de Python simples y configurables a un ejecutable GO con parámetros duros, versión con capacidades de reconocimiento a un webhook de discordia predeterminado».
La divulgación se produce cuando los mantenedores de paquetes NPM han planteado preocupaciones relacionadas con la falta de flujos de trabajo 2FA nativos para CI/CD, soporte de flujo de trabajo autohostado para la publicación confiable y la administración de tokens después de los cambios radicales introducidos por GitHub en respuesta a una creciente ola de ataques con cadena de suministro de software, socket dicho.
A principios de esta semana, Github dijo que revocará en breve todos los tokens heredados para los editores de NPM y que todos los tokens de acceso granular para NPM tendrán un vencimiento predeterminado de siete días (frente a 30 días) y un vencimiento máximo de 90 días, que solía ser ilimitado anteriormente.
«Los tokens de larga vida son un vector primario para los ataques de la cadena de suministro. Cuando los tokens están comprometidos, las vidas más cortas limitan la ventana de exposición y reducen el daño potencial,» TI dicho. «Este cambio está en línea con las mejores prácticas de seguridad ya adoptadas en toda la industria».
También se produce cuando la firma de seguridad de la cadena de suministro de software lanzó una herramienta gratuita llamada Socket Firewall que bloquea los paquetes maliciosos en el tiempo de instalación en NPM, Python y Rustystems, lo que brinda a los desarrolladores la capacidad de salvaguardar sus entornos contra posibles amenazas.
«El firewall de socket no se limita a protegerlo de dependencias problemáticas de nivel superior. También evitará que el administrador de paquetes obtenga cualquier dependencia transitiva que se sabe que es maliciosa», la compañía agregado.
Fuente