Los investigadores de seguridad cibernética han afectado un paquete desconfiado en el repositorio del índice de paquetes de Python (PYPI) que afirma ofrecer la capacidad de crear un servicio proxy de calcetines5, al tiempo que proporciona una funcionalidad mental de puerta trasera para soltar cargas bártulos adicionales en los sistemas de Windows.
El paquete engañoso, llamado Soopsocks, atrajo un total de 2,653 descargas ayer de que se retirara. Fue subido por primera vez por un agraciado llamado “Soodalpie” el 26 de septiembre de 2025, la misma aniversario en que se creó la cuenta.
“Si adecuadamente proporciona esta capacidad, exhibe comportamiento como un servidor proxy de puerta trasera dirigida a plataformas de Windows, utilizando procesos de instalación automatizados a través de VBScript o una traducción ejecutable”, dijo JFrog en un exploración.
El ejecutable (“_autorun.exe”) es un archivo GO compilado que, encima de incluir una implementación de calcetines5 como se anuncia, incluso está diseñado para ejecutar scripts de PowerShell, establecer reglas de firewall y relanzarse con permisos elevados. Incluso lleva a lengua un gratitud primordial del sistema y la red, incluida la configuración de seguridad de Internet Explorer y la aniversario de instalación de Windows, y exfiltra la información a un webhook de discords codificado.
“_Autorun.vbs”, el script de Visual Basic valiente por el paquete Python en las versiones 0.2.5 y 0.2.6, incluso es capaz de ejecutar un script de PowerShell, que luego descarga un archivo zip que contiene el seguro python binary desde un dominio forastero (“Install.soop (.) Espacio: 6969”) y genera un script de rejón que está configurado para instalar el paquete Instale el paquete Instale el paquete.
El script de PowerShell luego invoca el script por lotes, haciendo que el paquete de Python se ejecute, que, a su vez, se eleva para ejecutarse con privilegios administrativos (si no es que no)), configure las reglas de firewall para permitir la comunicación UDP y TCP a través del puerto 1080, instalar como un servicio, permanecer la comunicación con un webhook de transmisión y configurar la persistencia en el host utilizando una tarea programada para cerciorarse automáticamente de un sistema.
“Soopsocks es un proxy de calcetines5 adecuadamente diseñado con soporte completo de ventanas de comienzo”, dijo JFrog. “Sin bloqueo, dada la forma en que funciona y las acciones que se necesitan durante el tiempo de ejecución, muestra signos de actividad maliciosa, como reglas de firewall, permisos elevados, varios comandos de PowerShell y la transferencia de secuencias de comandos de Python simples y configurables a un ejecutable GO con parámetros duros, traducción con capacidades de gratitud a un webhook de discordia predeterminado”.
La divulgación se produce cuando los mantenedores de paquetes NPM han planteado preocupaciones relacionadas con la desidia de flujos de trabajo 2FA nativos para CI/CD, soporte de flujo de trabajo autohospedado para la publicación confiable y la gobierno del token posteriormente de los cambios radicales introducidos por GitHub en respuesta a una creciente ola de ataques de la sujeción de suministro de software, dijo Socket.
A principios de esta semana, Github dijo que revocará en breve todos los tokens heredados para los editores de NPM y que todos los tokens de ataque granular para NPM tendrán un vencimiento predeterminado de siete días (frente a 30 días) y un vencimiento mayor de 90 días, que solía ser ilimitado anteriormente.
“Los tokens de larga vida son un vector primario para los ataques de la sujeción de suministro. Cuando los tokens están comprometidos, las vidas más cortas limitan la ventana de exposición y reducen el daño potencial”, dijo. “Este cambio está en rasgo con las mejores prácticas de seguridad ya adoptadas en toda la industria”.
Incluso se produce cuando la firma de seguridad de la sujeción de suministro de software lanzó una utensilio gratuita señal Socket Firewall que bloquea los paquetes maliciosos en el tiempo de instalación en NPM, Python y Rustystems, lo que brinda a los desarrolladores la capacidad de defender sus entornos contra posibles amenazas.
“Socket Firewall no se limita a protegerlo de dependencias problemáticas de nivel superior. Incluso evitará que el administrador de paquetes obtenga cualquier dependencia transitiva que se sabe que es maliciosa”, agregó la compañía.
