Se ha descubierto que un nuevo paquete malicioso descubierto en el índice de paquetes de Python (PyPI) se hace pasar por una popular biblioteca de matemáticas simbólicas para desplegar cargas maliciosas, incluido un minero de criptomonedas, en hosts Linux.

El paquete, denominado symphy-dev , imita SymPy , reproduciendo textualmente la descripción del proyecto de este último en un intento de engañar a los usuarios desprevenidos haciéndoles creer que están descargando una «versión de desarrollo» de la biblioteca. Se ha descargado más de 1.100 veces desde que se publicó por primera vez el 17 de enero de 2026.

Aunque el recuento de descargas no es un criterio fiable para medir el número de infecciones, es probable que la cifra sugiera que algunos desarrolladores pueden haber sido víctimas de la campaña maliciosa. El paquete sigue disponible para su descarga en el momento de escribir este artículo.

De acuerdo con Enchufe , la biblioteca original se ha modificado para que sirva de descargador para un minero de criptomonedas XMRig en sistemas comprometidos. El comportamiento malintencionado está diseñado para activarse solo cuando se utilizan rutinas polinómicas específicas para que pasen desapercibidas.

«Cuando se invocan, las funciones retroactivas recuperan una configuración JSON remota, descargan una carga ELF controlada por un actor de amenazas y, a continuación, la ejecutan desde un descriptor de archivo anónimo respaldado en memoria mediante memfd_create y /proc/self/fd de Linux, lo que reduce los artefactos en el disco», dijo el investigador de seguridad Kirill Boychenko en un análisis realizado el miércoles.

Las funciones modificadas se utilizan para ejecutar un descargador, que obtiene una configuración JSON remota y una carga ELF de «63.250.56 [.] 54» y, a continuación, lanza el binario ELF junto con la configuración como entrada directamente en la memoria para evitar dejar artefactos en el disco. Esta técnica ya había sido adoptada anteriormente por las campañas de criptojacking orquestadas por FritzFrog y Mimo.

El objetivo final del ataque es descargar dos binarios ELF de Linux diseñados para minar criptomonedas utilizando XMRig en hosts Linux.

«Ambas configuraciones recuperadas utilizan un esquema compatible con XMRig que permite la minería de CPU, deshabilita los backends de la GPU y dirige al minero a Stratum a través de puntos finales TLS en el puerto 3333 alojados en las mismas direcciones IP controladas por los actores de amenazas», afirma Socket.

«Aunque observamos la criptominería en esta campaña, el implante Python funciona como un cargador de uso general que puede buscar y ejecutar código arbitrario de segunda etapa con los privilegios del proceso de Python».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.