Los investigadores de seguridad cibernética han marcado paquetes maliciosos en el repositorio de índice de paquetes de Python (PYPI), alegando que proporciona la capacidad de crear servicios proxy de calcetines5, y también ofrece características como backdoors sigilosas que eliminan cargas útiles adicionales en los sistemas de Windows.
El paquete engañoso llamado Soopsocks atrajo un total de 2.653 descargas antes de ser eliminado. Fue subido por primera vez el 26 de septiembre de 2025 por un usuario llamado «Soodalpie». Esta es la misma fecha en que se creó la cuenta.
«Si bien proporciona esta funcionalidad, demuestra su comportamiento como un servidor proxy de puerta trasera dirigida a la plataforma de Windows utilizando un proceso de instalación automatizado a través de VBScript o versión ejecutable», dijo JFrog en su análisis.
Un ejecutable («_autorun.exe») es un archivo GO compilado diseñado para ejecutar scripts de PowerShell, establecer reglas de firewall y reiniciar con mayor capacidad, además de incluir una implementación de SOCKS5 según el anuncio. También realiza un reconocimiento básico del sistema y la red, incluida la configuración de seguridad de Internet Explorer y las fechas de instalación de Windows, y excluye la información en Webhooks de discordia codificados.
«_autorun.vbs», el script Visual Basic lanzado por el paquete Python en las versiones 0.2.5 y 0.2.6 también puede ejecutar scripts de PowerShell. Esto descargará los binarios legítimos de Python del dominio externo («Install.Soop (.) Espacio: 6969»).
El script PowerShell llama al script por lotes y ejecuta el paquete Python. Esto se ejecutará con privilegios administrativos (si no es aún), configurará las reglas de firewall, configure la comunicación UDP y TCP a través del puerto 1080, instale como un servicio, mantenga la comunicación con Discord Webhooks e inicie automáticamente el host.
«Soopsocks es un proxy de calcetines5 bien diseñado con soporte de ventana de arranque completo», dice JFrog. «Pero cuando piensas en cómo te ejecutas y cómo lo ejecuta, muestra signos de actividad maliciosa, como reglas de firewall, permisos de aumento, varios comandos de PowerShell y parámetros ejecutables con parámetros codificados de scripts de Python simples y configurables, versiones con versiones con versiones.
Esta divulgación surge porque los mantenedores de paquetes NPM expresaron preocupaciones relacionadas con la falta de flujos de trabajo 2FA nativos para CI/CD, soporte de flujo de trabajo autohospedado para una publicación confiable y la gestión del token después del cambio de barrido introducido por GitHub en respuesta a un aumento en los ataques de la cadena de suministro de software.
A principios de esta semana, Github dijo que si pronto cancelara todos los tokens heredados de la publicación de NPM, todos los tokens de acceso granular en NPM tienen una fecha de vencimiento predeterminada de siete días (frente a 30 días) y una fecha máxima de vencimiento de 90 días.
«Los tokens de larga duración son los principales vectores de los ataques de la cadena de suministro. Cuando los tokens están comprometidos, la esperanza de vida más corta limita la ventana de exposición y reduce el daño potencial». «Los cambios pondrán a NPM en línea con las mejores prácticas de seguridad ya adoptadas en toda la industria».
También lleva a las compañías de seguridad de la cadena de suministro de software a lanzar una herramienta gratuita llamada Socket Firewall que bloquea los paquetes maliciosos durante la instalación en el ecosistema de NPM, Python y Rust, proporcionando a los desarrolladores la capacidad de proteger su entorno de posibles amenazas.
«Los firewalls de socket no se limitan a protegerlo de dependencias problemáticas de nivel superior, y también evitan que los administradores de paquetes obtengan dependencias transitivas que se sabe que son maliciosas», agregó la compañía.
Source link
