Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

El caballo de Troya de PyPI: cómo “soopsocks” se infiltró en miles de sistemas de desarrolladores

Un paquete de Python aparentemente útil se convirtió en una puerta trasera sigilosa, destacando nuevas amenazas en la cadena de suministro de software de código abierto.

Datos rápidos

  • El paquete “soopsocks” fue descargado 2.653 veces desde el Python Package Index (PyPI) antes de ser eliminado.
  • Promocionado como una herramienta proxy SOCKS5, en secreto instalaba una puerta trasera en sistemas Windows.
  • Los datos robados se enviaban a un webhook de Discord controlado por los atacantes.
  • El paquete utilizaba scripts automatizados para obtener derechos de administrador y persistir en las máquinas infectadas.
  • Este incidente sigue a un reciente aumento de ataques a la cadena de suministro de software dirigidos a repositorios de código abierto.

El caballo de Troya en la caja de herramientas

Imagina descargar una nueva y reluciente herramienta para tu taller digital, solo para descubrir después que venía con una trampilla oculta para ladrones. Eso es precisamente lo que sucedió cuando los desarrolladores confiaron en “soopsocks”, un paquete de Python del popular repositorio PyPI, que prometía ayudar a los usuarios a configurar proxies de internet seguros, pero que en realidad convirtió sus máquinas en cómplices involuntarios de un cibercrimen.

El paquete, subido por un usuario llamado “soodalpie” el 26 de septiembre de 2025, parecía legítimo a primera vista. Su función - un proxy SOCKS5, comúnmente utilizado para enrutar el tráfico de internet de forma segura - resultaba atractiva para desarrolladores y administradores. Pero bajo la superficie, “soopsocks” ocultaba un segundo propósito, mucho más siniestro: instalaba una puerta trasera, permitiendo a los atacantes controlar los sistemas infectados, husmear y enviar información robada a un canal de Discord codificado.

Un patrón familiar: ataques a la cadena de suministro en aumento

El episodio de “soopsocks” es solo el último de una ola de ataques a la cadena de suministro que tienen como objetivo a los desarrolladores de software. En los últimos años, los hackers han explotado cada vez más repositorios públicos de paquetes de confianza como PyPI y npm, introduciendo código malicioso en bibliotecas ampliamente utilizadas. Notablemente, el incidente de npm “event-stream” en 2021 y la brecha de “ctx” en PyPI demostraron cómo los atacantes pueden envenenar la fuente para miles de usuarios finales con solo unas pocas líneas de código.

Según la empresa de seguridad de la cadena de suministro de software Socket, el atractivo de estos ataques radica en su escala y sigilo. Los desarrolladores rara vez examinan cada actualización de paquete, y una vez que se instala un paquete malicioso - especialmente uno que se configura como un servicio persistente de Windows, como “soopsocks” - puede evadir la detección silenciosamente durante semanas.

Cómo funcionó el ataque

Los trucos técnicos detrás de “soopsocks” suenan complejos, pero su propósito era simple: obtener control y permanecer oculto. El paquete utilizaba una combinación de scripts de Visual Basic y PowerShell para descargar archivos adicionales, configurar reglas de firewall y escalar sus propios permisos, todo para poder profundizar su acceso al sistema. Información sobre el ordenador infectado, como configuraciones del navegador y fechas de instalación, se enviaba a los atacantes a través de Discord, una plataforma de chat cada vez más utilizada por ciberdelincuentes por su anonimato.

Para contraatacar, la comunidad de desarrolladores está respondiendo con nuevas herramientas y reglas más estrictas. GitHub, que gestiona npm, está acortando la vida útil de los tokens de seguridad para reducir el riesgo en caso de robo. Mientras tanto, herramientas como Socket Firewall ahora bloquean no solo amenazas evidentes, sino también peligros ocultos en las dependencias.

El caso de “soopsocks” es un recordatorio contundente: en el mundo interconectado de hoy, la confianza es tanto una necesidad como una vulnerabilidad. A medida que nuestras cajas de herramientas digitales crecen, también lo hace la necesidad de vigilancia, porque a veces, las mayores amenazas llegan disfrazadas de amigos útiles.

WIKICROOK

  • PyPI (Python Package Index): PyPI es el repositorio oficial en línea para paquetes de Python, que permite a los desarrolladores subir, compartir y descargar bibliotecas y herramientas de código reutilizable.
  • Proxy SOCKS5: Un proxy SOCKS5 enruta tu tráfico de internet a través de un servidor remoto, ocultando tu dirección IP y mejorando la privacidad y flexibilidad de acceso en línea.
  • Puerta trasera: Una puerta trasera es una forma oculta de acceder a un ordenador o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
  • Webhook de Discord: Un webhook de Discord es una URL especial que permite a las aplicaciones enviar automáticamente mensajes o datos a un canal de Discord, utilizado a menudo para alertas o integraciones.
  • Ataque a la cadena de suministro: Un ataque a la cadena de suministro es un ciberataque que compromete proveedores de software o hardware de confianza, propagando malware o vulnerabilidades a muchas organizaciones a la vez.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news