Một gói độc hại mới được phát hiện trong Python Package Index (PyPI) đã mạo danh một thư viện toán học ký hiệu phổ biến để triển khai các payload độc hại, bao gồm cả công cụ đào tiền điện tử, trên các máy chủ Linux.
Gói này, có tên sympy-dev, bắt chước SymPy, sao chép nguyên văn mô tả dự án của thư viện gốc nhằm đánh lừa người dùng không nghi ngờ rằng họ đang tải xuống một "phiên bản phát triển" của thư viện. Nó đã được tải xuống hơn 1.100 lần kể từ khi được xuất bản lần đầu vào ngày 17 tháng 1 năm 2026.
Mặc dù số lượt tải xuống không phải là thước đo đáng tin cậy để đánh giá số lượng lây nhiễm, nhưng con số này có thể cho thấy một số nhà phát triển đã trở thành nạn nhân của chiến dịch độc hại. Gói này vẫn có sẵn để tải xuống tính đến thời điểm hiện tại.
Theo Socket, thư viện gốc đã được sửa đổi để hoạt động như một trình tải xuống cho công cụ đào tiền điện tử XMRig trên các hệ thống bị xâm nhập. Hành vi độc hại này được thiết kế để chỉ kích hoạt khi các quy trình đa thức cụ thể được gọi nhằm mục đích ẩn mình.
"Khi được gọi, các chức năng bị cài cửa hậu sẽ truy xuất cấu hình JSON từ xa, tải xuống payload ELF do kẻ tấn công kiểm soát, sau đó thực thi nó từ một bộ mô tả tệp được hỗ trợ bởi bộ nhớ ẩn danh bằng cách sử dụng Linux memfd_create và /proc/self/fd, giúp giảm thiểu các tạo phẩm trên đĩa," nhà nghiên cứu bảo mật Kirill Boychenko cho biết trong một phân tích vào thứ Tư.
Các chức năng bị thay đổi được sử dụng để thực thi một trình tải xuống, tìm nạp cấu hình JSON từ xa và payload ELF từ "63.250.56[.]54", sau đó khởi chạy nhị phân ELF cùng với cấu hình dưới dạng đầu vào trực tiếp trong bộ nhớ để tránh để lại các tạo phẩm trên đĩa. Kỹ thuật này đã được các chiến dịch cryptojacking do FritzFrog và Mimo dàn dựng trước đây áp dụng.
Mục tiêu cuối cùng của cuộc tấn công là tải xuống hai tệp nhị phân ELF của Linux được thiết kế để đào tiền điện tử bằng XMRig trên các máy chủ Linux.
"Cả hai cấu hình được truy xuất đều sử dụng lược đồ tương thích với XMRig cho phép khai thác CPU, vô hiệu hóa GPU backends và hướng công cụ đào đến các điểm cuối Stratum over TLS trên cổng 3333 được lưu trữ trên cùng địa chỉ IP do kẻ tấn công kiểm soát," Socket cho biết.
"Mặc dù chúng tôi đã quan sát thấy hoạt động cryptomining trong chiến dịch này, nhưng implant Python hoạt động như một trình tải đa năng có thể tìm nạp và thực thi mã giai đoạn thứ hai tùy ý dưới đặc quyền của tiến trình Python."
