Paquete malicioso de PyPI soopsocks infecta 2,653 sistemas.

Alerta: paquete malicioso “soopsocks” compromete miles de sistemas a través de PyPI

Investigadores de ciberseguridad han descubierto un paquete malicioso en el repositorio Python Package Index (PyPI) llamado soopsocks, que se presentaba como una herramienta legítima para crear un servicio proxy SOCKS5, pero que en realidad contenía una puerta trasera (backdoor) diseñada para descargar y ejecutar cargas adicionales en sistemas Windows.

El paquete, subido el 26 de septiembre de 2025 por el usuario “soodalpie”, alcanzó 2,653 descargas antes de ser eliminado. Según el análisis de JFrog, aunque la herramienta ofrecía las funciones prometidas, también desplegaba una serie de acciones maliciosas, incluyendo la ejecución de scripts de PowerShell, modificación de reglas del firewall, escalada de privilegios, y la exfiltración de datos a un webhook de Discord.

El archivo ejecutable _AUTORUN.EXE, compilado en Go, no solo implementaba el proxy SOCKS5, sino que también estaba diseñado para reiniciarse con permisos elevados, ejecutar scripts adicionales y recopilar información básica del sistema y la red, como la configuración de seguridad de Internet Explorer y la fecha de instalación de Windows.

Por su parte, el script _AUTORUN.VBS, incluido en las versiones 0.2.5 y 0.2.6, podía descargar componentes desde un dominio externo (install.soop[.]space:6969) y generar un script por lotes que instalaba el paquete con pip install y lo ejecutaba automáticamente.

Durante este proceso, el malware establecía persistencia mediante tareas programadas, configuraba reglas de firewall para permitir tráfico UDP y TCP en el puerto 1080, e incluso se instalaba como servicio del sistema.

“soopsocks es un proxy SOCKS5 bien diseñado con soporte completo para Windows”, señaló JFrog. “Sin embargo, su comportamiento revela claras señales de actividad maliciosa: alteración de configuraciones del sistema, escalada de privilegios, ejecución de múltiples comandos de PowerShell y comunicación constante con un webhook de Discord.”

El descubrimiento coincide con nuevas medidas de GitHub para reforzar la seguridad en el ecosistema npm, tras un aumento de los ataques a la cadena de suministro de software.

Entre los cambios más importantes se incluye la revocación de tokens heredados y la reducción del tiempo de vida de los tokens de acceso granular a 7 días por defecto (máximo de 90 días), una drástica reducción frente al periodo anterior, que era ilimitado.

“Los tokens de larga duración son un vector clave en los ataques a la cadena de suministro. Al reducir su vigencia, se limita la ventana de exposición y el daño potencial”, explicó GitHub, destacando que esta actualización alinea a npm con las mejores prácticas de seguridad de la industria.

En paralelo, la empresa Socket lanzó Socket Firewall, una herramienta gratuita que bloquea paquetes maliciosos durante la instalación en los ecosistemas npm, Python y Rust. Esta solución protege tanto dependencias directas como transitivas, evitando que los gestores de paquetes descarguen componentes comprometidos.

“Socket Firewall no solo te protege de dependencias principales problemáticas, sino que también evita la instalación de cualquier dependencia secundaria conocida como maliciosa”, añadió la compañía.