Los investigadores de seguridad cibernética han afectado un paquete ladino en el repositorio del índice de paquetes de Python (PYPI) que afirma ofrecer la capacidad de crear un servicio proxy de calcetines5, al tiempo que proporciona una funcionalidad mental de puerta trasera para soltar cargas enseres adicionales en los sistemas de Windows.
El paquete engañoso, llamado Soopsocks, atrajo un total de 2,653 descargas antiguamente de que se retirara. Fue subido por primera vez por un favorecido llamado «Soodalpie» el 26 de septiembre de 2025, la misma época en que se creó la cuenta.
«Si acertadamente proporciona esta capacidad, exhibe comportamiento como un servidor proxy de puerta trasera dirigida a plataformas de Windows, utilizando procesos de instalación automatizados a través de VBScript o una lectura ejecutable», dijo JFrog en un prospección.
El ejecutable («_autorun.exe») es un archivo GO compilado que, adicionalmente de incluir una implementación de calcetines5 como se anuncia, incluso está diseñado para ejecutar scripts de PowerShell, establecer reglas de firewall y relanzarse con permisos elevados. Asimismo lleva a angla un examen principal del sistema y la red, incluida la configuración de seguridad de Internet Explorer y la época de instalación de Windows, y exfiltra la información a un webhook de discords codificado.
«_Autorun.vbs», el script de Visual Basic valiente por el paquete Python en las versiones 0.2.5 y 0.2.6, incluso es capaz de ejecutar un script de PowerShell, que luego descarga un archivo zip que contiene el legal python binary desde un dominio extranjero («Install.soop (.) Espacio: 6969») y genera un script de alabarda que está configurado para instalar el paquete Instale el paquete Instale el paquete.
El script de PowerShell luego invoca el script por lotes, haciendo que el paquete de Python se ejecute, que, a su vez, se eleva para ejecutarse con privilegios administrativos (si no es que no)), configure las reglas de firewall para permitir la comunicación UDP y TCP a través del puerto 1080, instalar como un servicio, persistir la comunicación con un webhook de transmisión y configurar la persistencia en el host utilizando una tarea programada para cerciorarse automáticamente de un sistema.
«Soopsocks es un proxy de calcetines5 acertadamente diseñado con soporte completo de ventanas de inicio», dijo JFrog. «Sin incautación, dada la forma en que funciona y las acciones que se necesitan durante el tiempo de ejecución, muestra signos de actividad maliciosa, como reglas de firewall, permisos elevados, varios comandos de PowerShell y la transferencia de secuencias de comandos de Python simples y configurables a un ejecutable GO con parámetros duros, lectura con capacidades de examen a un webhook de discordia predeterminado».
La divulgación se produce cuando los mantenedores de paquetes NPM han planteado preocupaciones relacionadas con la equivocación de flujos de trabajo 2FA nativos para CI/CD, soporte de flujo de trabajo autohospedado para la publicación confiable y la dirección del token a posteriori de los cambios radicales introducidos por GitHub en respuesta a una creciente ola de ataques de la prisión de suministro de software, dijo Socket.
A principios de esta semana, Github dijo que revocará en breve todos los tokens heredados para los editores de NPM y que todos los tokens de camino granular para NPM tendrán un vencimiento predeterminado de siete días (frente a 30 días) y un vencimiento mayor de 90 días, que solía ser ilimitado anteriormente.
«Los tokens de larga vida son un vector primario para los ataques de la prisión de suministro. Cuando los tokens están comprometidos, las vidas más cortas limitan la ventana de exposición y reducen el daño potencial», dijo. «Este cambio está en ruta con las mejores prácticas de seguridad ya adoptadas en toda la industria».
Asimismo se produce cuando la firma de seguridad de la prisión de suministro de software lanzó una útil gratuita emplazamiento Socket Firewall que bloquea los paquetes maliciosos en el tiempo de instalación en NPM, Python y Rustystems, lo que brinda a los desarrolladores la capacidad de proteger sus entornos contra posibles amenazas.
«Socket Firewall no se limita a protegerlo de dependencias problemáticas de nivel superior. Asimismo evitará que el administrador de paquetes obtenga cualquier dependencia transitiva que se sabe que es maliciosa», agregó la compañía.
