Se descubrió que un nuevo paquete malicioso descubierto en el Índice de paquetes de Python (PyPI) se hacía pasar por una popular biblioteca matemática simbólica e implementaba una carga útil maliciosa, incluido un minero de criptomonedas, en hosts Linux.
El paquete, llamado sympy-dev, imita SymPy y copia exactamente la descripción del proyecto de SymPy en un intento de engañar a los usuarios desprevenidos haciéndoles creer que están descargando una «versión de desarrollo» de la biblioteca. Se publicó por primera vez el 17 de enero de 2026 y desde entonces se ha descargado más de 1100 veces.
Si bien los números de descarga no son una métrica confiable para medir los números de infección, este número puede sugerir que algunos desarrolladores pueden haber sido víctimas de una campaña maliciosa. Este paquete todavía está disponible para descargar en el momento de escribir este artículo.
Según Socket, la biblioteca original ha sido modificada para actuar como un descargador para el minero de criptomonedas XMRig en sistemas comprometidos. Este comportamiento malicioso está diseñado para pasar desapercibido y solo activarse cuando se llama a una rutina polinómica específica.
«Una vez que se invoca la funcionalidad de puerta trasera, recupera una configuración JSON remota, descarga una carga útil ELF controlada por el atacante y la ejecuta desde un descriptor de archivo anónimo respaldado en memoria usando Linux memfd_create y /proc/self/fd. Esto reduce los artefactos en el disco», dijo el investigador de seguridad Kirill Boychenko en un análisis el miércoles.
La función modificada se utiliza para ejecutar el descargador. El descargador recupera la configuración JSON remota y la carga útil ELF de «63.250.56(.)54» y lanza el binario ELF con la configuración directamente en la memoria como entrada para evitar dejar artefactos en el disco. Esta técnica se ha empleado anteriormente en campañas de criptojacking organizadas por FritzFrog y Mimo.
El objetivo final del ataque es descargar dos binarios ELF de Linux diseñados para extraer criptomonedas utilizando XMRig en hosts Linux.
«Ambas configuraciones capturadas utilizan un esquema compatible con XMRig que permite la minería de CPU, desactiva el backend de GPU y dirige a los mineros a Stratum a través de un punto final TLS en el puerto 3333 alojado en una dirección IP controlada por el mismo actor de amenazas», dijo Socket.
«Si bien se observó criptominería en esta campaña, el implante Python actúa como un cargador de propósito general que puede recuperar y ejecutar código arbitrario de segunda etapa bajo los privilegios del proceso Python».
Source link
