文章总结： PyPI发现恶意包sympy-dev冒充SymPy库，在Linux主机部署XMRig挖矿程序。该包通过修改多项式例程触发攻击，利用内存文件描述符技术实现无痕执行，已被下载1100余次。研究指出该植入程序具备通用加载器功能，可在Python权限下执行任意第二阶段代码。 综合评分： 86 文章分类： 恶意软件,供应链安全,威胁情报

恶意 PyPI 软件包冒充 SymPy，在 Linux 主机上部署 XMRig 挖矿程序

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月22日 18:30 北京

在 Python 包索引 (PyPI) 中发现了一个新的恶意软件包，该软件会冒充一个流行的符号数学库，在 Linux 主机上部署恶意载荷，包括加密货币挖矿程序。

这个名为sympy-dev的软件包模仿了SymPy，逐字逐句地复制了后者的项目描述，试图欺骗不知情的用户，让他们误以为自己下载的是该库的“开发版本”。自2026年1月17日首次发布以来，该软件包已被下载超过1100次。

虽然下载量并非衡量感染数量的可靠指标，但该数字可能表明一些开发者已成为此次恶意攻击的受害者。截至发稿时，该软件包仍可供下载。

据Socket称，原始库已被修改，用于在受感染的系统上下载 XMRig 加密货币挖矿程序。这种恶意行为被设计成仅在调用特定多项式例程时触发，从而逃避检测。

安全研究员 Kirill Boychenko 在周三的一份分析报告中表示：“当被调用时，这些后门函数会检索远程 JSON 配置，下载威胁行为者控制的 ELF 有效载荷，然后使用 Linux memfd_create 和 /proc/self/fd 从匿名内存支持的文件描述符执行它，从而减少磁盘上的痕迹。”

修改后的函数用于执行下载器，该下载器从“63.250.56[.]54”远程获取JSON配置和ELF有效载荷，然后将ELF二进制文件连同配置一起作为输入直接在内存中启动，以避免在磁盘上留下痕迹。FritzFrog和Mimo策划的加密劫持活动此前也曾采用过这种技术。

此次攻击的最终目标是下载两个 Linux ELF 二进制文件，这两个文件旨在利用 XMRig 在 Linux 主机上挖掘加密货币。

Socket 表示：“检索到的两种配置都使用与 XMRig 兼容的方案，该方案支持 CPU 挖矿，禁用 GPU 后端，并将矿工定向到 Stratum over TLS 端点，这些端点托管在由同一威胁行为者控制的 IP 地址上的 3333 端口。”

“虽然我们在此次攻击活动中观察到了加密货币挖矿行为，但该 Python 植入程序的功能类似于通用加载器，可以在 Python 进程的权限下获取并执行任意的第二阶段代码。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《恶意 PyPI 软件包冒充 SymPy，在 Linux 主机上部署 XMRig 挖矿程序》