Кибербез без цензуры
Image

Кибербез без цензуры

Погружаемся в серые схемы и даркнет, чтобы показать вам изнанку цифрового мира без купюр и морали.

Хотел посчитать интегралы, а получил майнер. Будни Python-разработчика в 2026 году

leer en español

sympy-dev PyPI SymPy Linux XMRig Socket криптомайнинг
Хотел посчитать интегралы, а получил майнер. Будни Python-разработчика в 2026 году
sympy-dev PyPI SymPy Linux XMRig Socket криптомайнинг

Хакеры решили, что вашему процессору скучно, и заставили его добывать Monero.

image

В официальном репозитории PyPI выявлен вредоносный программный пакет, маскирующийся под популярную библиотеку для символьных вычислений. Злоумышленники скопировали описание легитимного проекта, чтобы выдать вредонос за его предварительную версию и ввести в заблуждение разработчиков, работающих с Python. За маскировкой скрывается попытка заражения систем вредоносной нагрузкой с последующим запуском майнера криптовалюты на устройствах под управлением Linux.

Пакет с названием sympy-dev был опубликован 17 января и с тех пор успел набрать свыше 1100 загрузок. Это может указывать на то, что вредоносное программное обеспечение уже попало в рабочие среды. Его дистрибуция осуществляется через PyPI, и на момент публикации он остаётся доступным для установки. Вредонос использует название и описание библиотеки SymPy, тем самым подменяя оригинальный проект и вызывая доверие у пользователей.

Специалисты компании Socket проанализировали вредоносное поведение и выяснили, что библиотека используется как загрузчик майнера XMRig. Внедрённый код активируется только при вызове определённых полиномиальных функций, что позволяет ему дольше оставаться незамеченным.

Изменённые функции обращаются к удалённому серверу, откуда получают конфигурационный файл в формате JSON и исполняемый ELF-файл. Затем он запускается напрямую из памяти с помощью механизмов «memfd_create» и «/proc/self/fd», что снижает вероятность обнаружения, поскольку не оставляет следов на диске.

Используемый метод уже применялся в других кампаниях по скрытому майнингу, в том числе известных под названиями FritzFrog и Mimo. Злоумышленники используют IP-адрес «63.250.56[.]54» для загрузки полезной нагрузки и её конфигурации.

Основная задача вредоносного кода — внедрение двух ELF-файлов, предназначенных для CPU-майнинга криптовалюты с использованием XMRig на Linux-хостах. Конфигурации настраивают работу с TLS-соединением через протокол Stratum на порту 3333 и отключают использование графических процессоров, сосредотачиваясь исключительно на загрузке центрального процессора.

Специалисты подчёркивают, что внедрённый компонент способен не только запускать XMRig, но и выполнять произвольный дополнительный код. Это делает его универсальным инструментом, открывающим возможности для дальнейших атак от имени текущего Python-процесса.