В индексе пакетов Python (PyPI) обнаружен вредоносный пакет, замаскированный под известную библиотеку символической математики. Пакет sympy-dev представляет себя как разрабатываемая версия популярной библиотеки SymPy. Однако вместо обещанной функциональности внедряет скрытый майнер криптовалют, нацеленный на системы Linux.
Опубликованный ещё 17 января 2026 года, зловред сумел собрать более тысячи скачиваний. Хотя точное число пострадавших неизвестно, это событие вызывает серьёзные опасения среди сообщества разработчиков, ведь такой уровень распространения свидетельствует о вероятности реальных заражений. Вредоносный пакет продолжает свободно размещаться на платформе PyPI, оставаясь доступным для потенциальных жертв.
Исследователи кибербезопасности из компании Socket установили, что оригинал библиотеки был подвергнут модификации таким образом, чтобы превращаться в своеобразный загрузчик для вредоносного ПО. После активации он незаметно отправляет запросы на удалённый сервер, получает оттуда двоичный файл формата ELF и сразу же исполняет его прямо из оперативной памяти компьютера жертвы. Этот трюк помогает минимизировать следы присутствия на диске, делая обнаружение гораздо сложнее.
Исследование демонстрирует механизм работы вредоносного пакета: исполнение вредоносного поведения инициируется лишь тогда, когда разработчик обращается к некоторым полиномиальным функциям, специально встроенным злоумышленниками. Таким образом, злоумышленники стараются сделать своё присутствие менее заметным и избежать быстрого выявления проблемы.
Модифицированные функции действуют как начальная точка запуска вредоносного загрузчика. Загрузчик извлекает дистанционную конфигурацию в формате JSON и бинарный файл формата ELF с сервера злоумышленника («63.250.56[.]54»), а затем незамедлительно исполняет полученный ELF-файл в оперативной памяти, используя переданные данные конфигурации в качестве аргументов. Подобная эксплуатация известна по предыдущим кампаниям скрытого майнинга, реализованным группами FritzFrog и Mimo.
Цель атаки - установить вредоносные файлы формата ELF для добычи криптовалюты с применением инструмента XMRig на инфицированных Linux-системах.
Используемые конфигурации соответствуют спецификациям XMRig и настроены на добычу монет исключительно посредством центральных процессоров, игнорируя поддержку видеокарт. Добытые средства отправляются на удалённые серверы злоумышленников через защищённое соединение (TLS) на порту 3333.
Важно отметить, основная задача – несанкционированный майнинг. Однако созданный вредоносный модуль обладает функциями общего назначения. Он способен не только загружать и исполнять файлы, предназначенные для добычи криптовалюты, но также служит удобным механизмом доставки и исполнения любого другого произвольного вредоносного кода под правами запущенного Python-приложения.
Опубликованный ещё 17 января 2026 года, зловред сумел собрать более тысячи скачиваний. Хотя точное число пострадавших неизвестно, это событие вызывает серьёзные опасения среди сообщества разработчиков, ведь такой уровень распространения свидетельствует о вероятности реальных заражений. Вредоносный пакет продолжает свободно размещаться на платформе PyPI, оставаясь доступным для потенциальных жертв.
Исследователи кибербезопасности из компании Socket установили, что оригинал библиотеки был подвергнут модификации таким образом, чтобы превращаться в своеобразный загрузчик для вредоносного ПО. После активации он незаметно отправляет запросы на удалённый сервер, получает оттуда двоичный файл формата ELF и сразу же исполняет его прямо из оперативной памяти компьютера жертвы. Этот трюк помогает минимизировать следы присутствия на диске, делая обнаружение гораздо сложнее.
Исследование демонстрирует механизм работы вредоносного пакета: исполнение вредоносного поведения инициируется лишь тогда, когда разработчик обращается к некоторым полиномиальным функциям, специально встроенным злоумышленниками. Таким образом, злоумышленники стараются сделать своё присутствие менее заметным и избежать быстрого выявления проблемы.
Модифицированные функции действуют как начальная точка запуска вредоносного загрузчика. Загрузчик извлекает дистанционную конфигурацию в формате JSON и бинарный файл формата ELF с сервера злоумышленника («63.250.56[.]54»), а затем незамедлительно исполняет полученный ELF-файл в оперативной памяти, используя переданные данные конфигурации в качестве аргументов. Подобная эксплуатация известна по предыдущим кампаниям скрытого майнинга, реализованным группами FritzFrog и Mimo.
Цель атаки - установить вредоносные файлы формата ELF для добычи криптовалюты с применением инструмента XMRig на инфицированных Linux-системах.
Используемые конфигурации соответствуют спецификациям XMRig и настроены на добычу монет исключительно посредством центральных процессоров, игнорируя поддержку видеокарт. Добытые средства отправляются на удалённые серверы злоумышленников через защищённое соединение (TLS) на порту 3333.
Важно отметить, основная задача – несанкционированный майнинг. Однако созданный вредоносный модуль обладает функциями общего назначения. Он способен не только загружать и исполнять файлы, предназначенные для добычи криптовалюты, но также служит удобным механизмом доставки и исполнения любого другого произвольного вредоносного кода под правами запущенного Python-приложения.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь