Python Paket Dizininde (PyPI) keşfedilen yeni bir kötü amaçlı paketin, Linux ana bilgisayarlarına kripto para birimi madencisi de dahil olmak üzere kötü amaçlı yükleri dağıtmak için sembolik matematik için popüler bir kitaplığı taklit ettiği bulundu.
Adı geçen paket sympy-devSymPy’yi taklit eder ve şüphelenmeyen kullanıcıları, kütüphanenin bir “geliştirme sürümünü” indirdiklerini düşünmeleri için kandırmak amacıyla ikincisinin proje açıklamasını kelimesi kelimesine kopyalar. İlk yayınlandığı 17 Ocak 2026’dan bu yana 1.100’den fazla indirildi.
İndirme sayısı, bulaşma sayısını ölçmek için güvenilir bir ölçüt olmasa da, rakam muhtemelen bazı geliştiricilerin kötü niyetli kampanyanın kurbanı olabileceğini gösteriyor. Paket, yazının yazıldığı an itibarıyla indirilmeye hazır durumda kalacaktır.
Socket’e göre, orijinal kütüphane, güvenliği ihlal edilmiş sistemlerde bir XMRig kripto para madencisinin indiricisi olarak görev yapacak şekilde değiştirildi. Kötü niyetli davranış, yalnızca radarın altından uçmak için belirli polinom rutinleri çağrıldığında tetiklenecek şekilde tasarlanmıştır.
Güvenlik araştırmacısı Kirill Boychenko Çarşamba günü yaptığı bir analizde, “Çağrıldığında, arka kapılı işlevler uzak bir JSON yapılandırmasını alır, tehdit aktörü tarafından kontrol edilen bir ELF yükünü indirir ve ardından bunu Linux memfd_create ve /proc/self/fd kullanarak anonim bellek destekli bir dosya tanımlayıcıdan yürütür, bu da diskteki yapay yapıları azaltır.” dedi.
Değiştirilen işlevler, uzak JSON yapılandırmasını ve “63.250.56” adresinden bir ELF yükünü getiren bir indiriciyi çalıştırmak için kullanılır.[.]54″ ve ardından diskte kalıntı bırakmayı önlemek için ELF ikili dosyasını yapılandırmayla birlikte doğrudan belleğe giriş olarak başlatır. Bu teknik daha önce FritzFrog ve Mimo tarafından yönetilen cryptojacking kampanyaları tarafından benimsenmişti.
Saldırının nihai hedefi, Linux ana bilgisayarlarında XMRig kullanarak kripto para birimi madenciliği yapmak üzere tasarlanmış iki Linux ELF ikili dosyasını indirmektir.
Socket, “Geri alınan her iki yapılandırma da CPU madenciliği sağlayan, GPU arka uçlarını devre dışı bırakan ve madenciyi aynı tehdit aktörü tarafından kontrol edilen IP adreslerinde barındırılan 3333 numaralı bağlantı noktasındaki TLS uç noktaları üzerinden Stratum’a yönlendiren XMRig uyumlu bir şema kullanıyor” dedi.
“Bu kampanyada kripto madenciliği gözlemlemiş olsak da Python implantı, Python sürecinin ayrıcalıkları altında isteğe bağlı ikinci aşama kodu getirip çalıştırabilen genel amaçlı bir yükleyici olarak işlev görüyor.”