Se ha descubierto que un nuevo paquete malicioso descubierto en el Índice de paquetes de Python (PyPI) se hace pasar por una biblioteca popular de matemáticas simbólicas para implementar cargas útiles maliciosas, incluido un minero de criptomonedas, en hosts Linux.
El paquete, llamado desarrollo sympyimita SymPyreplicando textualmente la descripción del proyecto de este último en un intento de engañar a los usuarios desprevenidos haciéndoles creer que están descargando una «versión de desarrollo» de la biblioteca. Se ha descargado más de 1100 veces desde que se publicó por primera vez el 17 de enero de 2026.
Aunque el recuento de descargas no es un criterio fiable para medir el número de infecciones, la cifra probablemente sugiere que algunos desarrolladores pueden haber sido víctimas de la campaña maliciosa. El paquete permanece disponible para descargar al momento de escribir este artículo.
De acuerdo a Enchufela biblioteca original se modificó para actuar como un descargador para un minero de criptomonedas XMRig en sistemas comprometidos. El comportamiento malicioso está diseñado para activarse sólo cuando se llaman rutinas polinómicas específicas para pasar desapercibidas.
«Cuando se invocan, las funciones de puerta trasera recuperan una configuración JSON remota, descargan una carga útil ELF controlada por el actor de amenazas y luego la ejecutan desde un descriptor de archivo anónimo respaldado en memoria usando Linux memfd_create y /proc/self/fd, lo que reduce los artefactos en el disco», dijo el investigador de seguridad Kirill Boychenko en un análisis del miércoles.
Las funciones modificadas se utilizan para ejecutar un descargador, que recupera una configuración JSON remota y una carga útil ELF de «63.250.56[.]54», y luego lanza el binario ELF junto con la configuración como entrada directamente en la memoria para evitar dejar artefactos en el disco. Esta técnica ha sido adoptada previamente por campañas de cryptojacking orquestadas por FritzFrog y mimo.
El objetivo final del ataque es descargar dos binarios ELF de Linux que están diseñados para extraer criptomonedas utilizando XMRig en hosts Linux.
«Ambas configuraciones recuperadas utilizan un esquema compatible con XMRig que permite la minería de CPU, deshabilita los backends de GPU y dirige al minero a Stratum a través de puntos finales TLS en el puerto 3333 alojado en las mismas direcciones IP controladas por el actor de amenazas», dijo Socket.
«Aunque observamos criptominería en esta campaña, el implante Python funciona como un cargador de propósito general que puede recuperar y ejecutar código arbitrario de segunda etapa bajo los privilegios del proceso Python».
Fuente