Se ha descubierto que un nuevo paquete malicioso descubierto en Python Package Index (PyPI) imita una popular biblioteca matemática simbólica para entregar cargas útiles maliciosas, incluido un minero de criptomonedas, a hosts Linux.
El paquete con el nombre. desarrollo sympyimita SymPy y reproduce la descripción del proyecto palabra por palabra para engañar a los usuarios desprevenidos haciéndoles creer que están descargando una “versión de desarrollo” de la biblioteca. Desde su lanzamiento inicial el 17 de enero de 2026, se ha descargado más de 1100 veces.
Aunque el número de descargas no es una métrica confiable para medir el número de infecciones, el número probablemente indica que algunos desarrolladores pueden haber sido víctimas de la campaña maliciosa. El paquete sigue disponible para descargar en el momento de escribir este artículo.
Según Socket, la biblioteca original fue modificada para actuar como un descargador para un minero de criptomonedas XMRig en sistemas comprometidos. El comportamiento malicioso sólo debe activarse cuando se invocan determinadas rutinas polinómicas para pasar desapercibidos.
“Cuando se invocan, las funciones de puerta trasera recuperan una configuración JSON remota, descargan una carga útil ELF controlada por el actor de amenazas y luego la ejecutan desde un descriptor de archivo anónimo basado en memoria usando Linux memfd_create y /proc/self/fd, reduciendo los artefactos en el disco”, dijo el investigador de seguridad Kirill Boychenko en un análisis el miércoles.
Las funciones modificadas se utilizan para ejecutar un descargador que recupera una configuración JSON remota y una carga útil ELF de “63.250.56(.)54” y luego inicia el binario ELF junto con la configuración como entrada directamente en la memoria para evitar dejar artefactos en el disco. Esta técnica fue adoptada anteriormente en campañas de criptojacking orquestadas por FritzFrog y Mimo.
El objetivo final del ataque es descargar dos binarios ELF de Linux diseñados para la minería de criptomonedas utilizando XMRig en hosts Linux.
“Ambas configuraciones recuperadas utilizan un esquema compatible con XMRig que permite la minería de CPU, deshabilita los backends de GPU y redirige al minero a Stratum a través de puntos finales TLS en el puerto 3333 alojado en las mismas direcciones IP controladas por el actor de amenazas”, dijo Socket.
“Aunque observamos criptominería en esta campaña, el implante Python actúa como un cargador de propósito general que puede recuperar y ejecutar código arbitrario de segunda etapa bajo los privilegios del proceso Python”.
About The Author
