La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato.
Non stiamo parlando del solito script improvvisato; dietro SoopSocks c’è una catena di azioni pensata per ottenere persistenza, ridurre il rumore e stabilire un canale di comando/controllo stabile. Il pacchetto è stato pubblicato su PyPI (Python Package Index), il registro ufficiale dei pacchetti Python.
Il pacchetto ingannevole, denominato “soopsocks“, ha totalizzato 2.653 download prima di essere rimosso. È stato caricato per la prima volta da un utente di nome “soodalpie” il 26 settembre 2025, la stessa data di creazione dell’account.
Advertising
Questa combinazione è pensata per massimizzare la percentuale di successo: componenti compilati per l’esecuzione, script per l’integrazione e meccanismi nativi per la persistenza. Il risultato è un pacchetto che funziona come “utility” e nello stesso tempo costruisce un punto di appoggio remoto.
Strategia dell’attaccante: stealth e affidabilità
SoopSocks si presentava come una libreria Python, riportano i ricercatori di sicurezza, per offrire un proxy SOCKS5. In realtà, su Windows metteva in piedi un piccolo impianto di backdoor persistente: si installava come servizio, apriva la porta giusta sul firewall, rimaneva attivo ai riavvii e inviava periodicamente informazioni all’esterno.
Come entra e si installa: dopo l’installazione, il pacchetto non si limitava ai moduli Python. In alcune versioni depositava un eseguibile compilato (scritto in Go) e uno o più script di orchestrazione (PowerShell/VBScript). Questi componenti servivano per:
installare un servizio Windows con avvio automatico (così si riaccendeva ad ogni boot);
predisporre un piano B di persistenza tramite un’attività pianificata, se la creazione del servizio falliva;
eseguire comandi PowerShell in modalità “silenziosa” (bypassando le execution policy e riducendo i messaggi a schermo) per configurarsi e restare sotto traccia.
Cosa fa una volta attivo
Ufficialmente esponeva un proxy SOCKS5 (tipicamente sulla porta 1080). Dietro le quinte:
aggiungeva regole al firewall per aprire la porta del proxy, così il traffico in ingresso non veniva bloccato;
manteneva persistenza (servizio + task) in modo da sopravvivere a riavvii o tentativi di “pulizia” incompleti;
avviava una telemetria a basso profilo: a intervalli regolari raccoglieva informazioni sulla macchina (nome host, versione del sistema, configurazione e stato della rete, indirizzi IP) e le spediva verso l’esterno usando canali comuni (HTTPS), di solito con pacchetti piccoli e frequenti per non dare nell’occhio.
Perché è difficile da notare
Molte azioni passavano per strumenti legittimi di Windows (PowerShell, Task Scheduler, gestione firewall). Agli occhi di un monitoraggio basato solo su firme, queste operazioni possono sembrare normali attività amministrative. Inoltre, offrendo davvero un SOCKS5 “funzionante”, il pacchetto abbassava la soglia di sospetto: chi lo provava vedeva che “fa il suo dovere” e raramente andava a controllare i componenti extra.
Advertising
Il punto chiave
SoopSocks univa funzionalità utile (il proxy) e meccaniche di intrusione/persistenza ben note. Questo mix trasformava una libreria apparentemente innocua in un punto d’appoggio remoto: un host che l’attaccante può usare come proxy controllabile e da cui raccogliere dati, con un profilo di “rumore” di rete volutamente basso.
Questa strategia dimostra una conoscenza pratica di come operano team di difesa aziendali: gli attaccanti progettano le loro tecniche per apparire «normali» rispetto al profilo operativo quotidiano. L’utilizzo di ambienti di sviluppo, come punto di diffusione, permette di creare punti di persistenza per movimenti laterali. Inoltre l’utilizzo i repository interni/locali possono conservare versioni malevoli anche dopo che sono state rimosse online, perché restano in cache. Senza regole di verifica e pulizia periodica, i team di sviluppo rischiano di continuare a usarle senza accorgersene.
SoopSocks non ha rivoluzionato il panorama delle minacce, ma ha mostrato come la combinazione di componenti legittimi e tecniche già collaudate possa trasformare una libreria in un serio vettore di compromissione. Per le organizzazioni la sfida non è solo tecnica, ma soprattutto processuale: difendere la filiera software richiede controlli e procedure
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.