Хотел посчитать интегралы, а получил майнер. Будни Python-разработчика в 2026 году
NewsMakerХакеры решили, что вашему процессору скучно, и заставили его добывать Monero.
В официальном репозитории PyPI выявлен вредоносный программный пакет, маскирующийся под популярную библиотеку для символьных вычислений. Злоумышленники скопировали описание легитимного проекта, чтобы выдать вредонос за его предварительную версию и ввести в заблуждение разработчиков, работающих с Python. За маскировкой скрывается попытка заражения систем вредоносной нагрузкой с последующим запуском майнера криптовалюты на устройствах под управлением Linux.
Пакет с названием sympy-dev был опубликован 17 января и с тех пор успел набрать свыше 1100 загрузок. Это может указывать на то, что вредоносное программное обеспечение уже попало в рабочие среды. Его дистрибуция осуществляется через PyPI, и на момент публикации он остаётся доступным для установки. Вредонос использует название и описание библиотеки SymPy, тем самым подменяя оригинальный проект и вызывая доверие у пользователей.
Специалисты компании Socket проанализировали вредоносное поведение и выяснили, что библиотека используется как загрузчик майнера XMRig. Внедрённый код активируется только при вызове определённых полиномиальных функций, что позволяет ему дольше оставаться незамеченным.
Изменённые функции обращаются к удалённому серверу, откуда получают конфигурационный файл в формате JSON и исполняемый ELF-файл. Затем он запускается напрямую из памяти с помощью механизмов «memfd_create» и «/proc/self/fd», что снижает вероятность обнаружения, поскольку не оставляет следов на диске.
В официальном репозитории PyPI выявлен вредоносный программный пакет, маскирующийся под популярную библиотеку для символьных вычислений. Злоумышленники скопировали описание легитимного проекта, чтобы выдать вредонос за его предварительную версию и ввести в заблуждение разработчиков, работающих с Python. За маскировкой скрывается попытка заражения систем вредоносной нагрузкой с последующим запуском майнера криптовалюты на устройствах под управлением Linux.
Пакет с названием sympy-dev был опубликован 17 января и с тех пор успел набрать свыше 1100 загрузок. Это может указывать на то, что вредоносное программное обеспечение уже попало в рабочие среды. Его дистрибуция осуществляется через PyPI, и на момент публикации он остаётся доступным для установки. Вредонос использует название и описание библиотеки SymPy, тем самым подменяя оригинальный проект и вызывая доверие у пользователей.
Специалисты компании Socket проанализировали вредоносное поведение и выяснили, что библиотека используется как загрузчик майнера XMRig. Внедрённый код активируется только при вызове определённых полиномиальных функций, что позволяет ему дольше оставаться незамеченным.
Изменённые функции обращаются к удалённому серверу, откуда получают конфигурационный файл в формате JSON и исполняемый ELF-файл. Затем он запускается напрямую из памяти с помощью механизмов «memfd_create» и «/proc/self/fd», что снижает вероятность обнаружения, поскольку не оставляет следов на диске.