Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Il Cavallo di Troia di PyPI: Come “soopsocks” ha infiltrato migliaia di sistemi di sviluppatori

Un pacchetto Python apparentemente utile si è trasformato in una backdoor furtiva, mettendo in luce nuove minacce nella catena di fornitura del software open-source.

In breve

  • Il pacchetto “soopsocks” è stato scaricato 2.653 volte dal Python Package Index (PyPI) prima della sua rimozione.
  • Presentato come uno strumento proxy SOCKS5, installava segretamente una backdoor sui sistemi Windows.
  • I dati rubati venivano inviati a un webhook Discord controllato dagli attaccanti.
  • Il pacchetto utilizzava script automatizzati per ottenere diritti di amministratore e persistere sulle macchine infette.
  • Questo episodio segue una recente ondata di attacchi alla catena di fornitura del software che prendono di mira i repository open-source.

Il Cavallo di Troia nella cassetta degli attrezzi

Immagina di scaricare un nuovo, scintillante strumento per il tuo laboratorio digitale - solo per scoprire in seguito che conteneva una botola nascosta per i ladri. È esattamente ciò che è successo quando gli sviluppatori si sono fidati di “soopsocks”, un pacchetto Python dal popolare repository PyPI, che prometteva di aiutare gli utenti a configurare proxy internet sicuri ma che invece ha trasformato le loro macchine in inconsapevoli complici di un crimine informatico.

Il pacchetto, caricato da un utente chiamato “soodalpie” il 26 settembre 2025, sembrava legittimo a prima vista. La sua funzione - un proxy SOCKS5, comunemente usato per instradare il traffico internet in modo sicuro - era attraente per sviluppatori e amministratori. Ma sotto la superficie, “soopsocks” nascondeva uno scopo più sinistro: installava una backdoor, permettendo agli attaccanti di controllare i sistemi infetti, curiosare e inviare informazioni rubate a un canale Discord codificato.

Uno schema già visto: attacchi alla catena di fornitura in aumento

L’episodio “soopsocks” è solo l’ultimo di una serie di attacchi alla catena di fornitura che prendono di mira gli sviluppatori di software. Negli ultimi anni, gli hacker hanno sfruttato sempre più spesso repository pubblici affidabili come PyPI e npm, inserendo codice malevolo in librerie ampiamente utilizzate. In particolare, l’incidente npm “event-stream” del 2021 e la compromissione di “ctx” su PyPI hanno mostrato come gli attaccanti possano avvelenare la fonte per migliaia di utenti a valle con poche righe di codice.

Secondo la società di sicurezza della catena di fornitura software Socket, l’attrattiva di questi attacchi risiede nella loro scala e furtività. Gli sviluppatori raramente esaminano ogni aggiornamento dei pacchetti e, una volta installato un pacchetto malevolo - soprattutto uno che si configura come servizio persistente su Windows, come “soopsocks” - può sfuggire silenziosamente al rilevamento per settimane.

Come ha funzionato l’attacco

I trucchi tecnici dietro “soopsocks” possono sembrare complessi, ma il loro scopo era semplice: ottenere il controllo e restare nascosti. Il pacchetto utilizzava una combinazione di script Visual Basic e PowerShell per scaricare file aggiuntivi, impostare regole firewall ed elevare i propri permessi - tutto per potersi annidare più a fondo nel sistema. Informazioni sul computer infetto, come le impostazioni del browser e le date di installazione, venivano inviate agli attaccanti tramite Discord, una piattaforma di chat sempre più apprezzata dai cybercriminali per il suo anonimato.

Per reagire, la comunità degli sviluppatori sta rispondendo con nuovi strumenti e regole più rigide. GitHub, che gestisce npm, sta riducendo la durata dei token di sicurezza per diminuire il rischio in caso di furto. Nel frattempo, strumenti come Socket Firewall ora bloccano non solo le minacce evidenti, ma anche i pericoli nascosti nelle dipendenze.

Il caso “soopsocks” è un chiaro promemoria: nel mondo interconnesso di oggi, la fiducia è sia una necessità che una vulnerabilità. Man mano che le nostre cassette degli attrezzi digitali crescono, cresce anche la necessità di vigilanza - perché a volte, le minacce più grandi arrivano travestite da amici utili.

WIKICROOK

  • PyPI (Python Package Index): PyPI è il repository online ufficiale per i pacchetti Python, che consente agli sviluppatori di caricare, condividere e scaricare librerie e strumenti di codice riutilizzabili.
  • SOCKS5 Proxy: Un proxy SOCKS5 instrada il tuo traffico internet attraverso un server remoto, nascondendo il tuo indirizzo IP e migliorando la privacy online e la flessibilità di accesso.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere il controllo segreto.
  • Discord Webhook: Un Discord Webhook è un URL speciale che consente alle app di inviare automaticamente messaggi o dati a un canale Discord, spesso usato per avvisi o integrazioni.
  • Supply Chain Attack: Un attacco alla catena di fornitura è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news