Se ha descubierto que un nuevo paquete sagaz descubierto en el Índice de paquetes de Python (PyPI) se hace sobrevenir por una biblioteca popular de matemáticas simbólicas para implementar cargas efectos maliciosas, incluido un minero de criptomonedas, en hosts Linux.
El paquete, llamado incremento sympyimita a SymPy, replicando textualmente la descripción del tesina de este zaguero en un intento de engañar a los usuarios desprevenidos haciéndoles pensar que están descargando una “lectura de incremento” de la biblioteca. Se ha descargado más de 1100 veces desde que se publicó por primera vez el 17 de enero de 2026.
Aunque el recuento de descargas no es un criterio fiable para evaluar el número de infecciones, la signo probablemente sugiere que algunos desarrolladores pueden activo sido víctimas de la campaña maliciosa. El paquete permanece adecuado para descargar al momento de escribir este artículo.
Según Socket, la biblioteca flamante ha sido modificada para realizar como un descargador para un minero de criptomonedas XMRig en sistemas comprometidos. El comportamiento sagaz está diseñado para activarse sólo cuando se llaman rutinas polinómicas específicas para sobrevenir desapercibidas.
“Cuando se invocan, las funciones de puerta trasera recuperan una configuración JSON remota, descargan una carga útil ELF controlada por el actor de amenazas y luego la ejecutan desde un descriptor de archivo secreto respaldado en memoria usando Linux memfd_create y /proc/self/fd, lo que reduce los artefactos en el disco”, dijo el investigador de seguridad Kirill Boychenko en un examen del miércoles.
Las funciones modificadas se utilizan para ejecutar un descargador, que recupera una configuración JSON remota y una carga útil ELF de “63.250.56(.)54” y luego inicia el binario ELF anejo con la configuración como entrada directamente en la memoria para evitar dejar artefactos en el disco. Esta técnica residente en la memoria se ha observado previamente en campañas de criptojacking orquestadas por FritzFrog y Mimo.
El objetivo final del ataque es descargar dos binarios ELF de Linux que están diseñados para extraer criptomonedas utilizando XMRig en hosts Linux.
“Ambas configuraciones recuperadas utilizan un esquema compatible con XMRig que permite la minería de CPU, deshabilita los backends de GPU y dirige al minero a Stratum a través de puntos finales TLS en el puerto 3333 alojado en las mismas direcciones IP controladas por el actor de amenazas”, dijo Socket.
“Aunque observamos criptominería en esta campaña, el implante Python funciona como un cargador de propósito militar que puede recuperar y ejecutar código injusto de segunda etapa bajo los privilegios del proceso Python”.
Refrescar
El paquete Python ya no está adecuado para descargar desde PyPI a partir del 24 de enero de 2026.
