Ein schädliches Paket hat den Python Package Index (PyPI) erreicht, als eine Entwicklungsversion einer Bibliothek bekannt für symbolische Berechnung, und sein Modus operandi verdient Aufmerksamkeit: es installiert nicht nur verdächtige Code, sondern fungiert als Ladegerät in der Lage, Binaries in Speicher zu bringen und zu laufen Kryptomoneda Bergbau in Linux-Systeme zu setzen.
Das Puppenspiel erschien unter dem Namen Symphy-dev und sogar replizierte die Beschreibung des legitimen Projekts, um den zu verwirren, der installiert, was schien eine Variante von Sympion. Laut den öffentlichen Daten von PyPI akkumulierte das Paket seit seiner Veröffentlichung Mitte Januar 2026 mehr als tausend Downloads, eine Figur, die nicht unbedingt die Anzahl der verwendeten Maschinen beläuft, aber zeigt, dass einige Entwickler es versehentlich installieren konnten. Die Registrierung der Paketseite in PyPI finden Sie hier: https: / / pypi.org / Projekt / symphy-dev /.
Die technische Forschung der Sockel Details, wie der bösartige Code bestimmte Bibliotheksfunktionen modifiziert, um als Launcher zu fungieren. Diese Funktionen werden nur aktiviert, wenn bestimmte polynomische Routinen aufgerufen werden, eine bewusste Strategie zur Verzögerungserkennung: das schädliche Verhalten wird verborgen, bis der legitime Fluss der Bibliothek diese Punkte erreicht.
Wenn die kompromittierten Routinen ausgeführt werden, kontaktiert das Paket einen Remote-Server und lädt zunächst eine JSON-Konfiguration und dann ein oder zwei ELF-Binaries für Linux aus der von den Forschern beobachteten IP-Adresse herunter. Anstatt diese Binaries auf der Festplatte zu schreiben, lädt der Angreifer sie direkt in den Speicher und führt sie mit kernelspezifischen Techniken, wie memfd _ erstellen kombiniert mit Deskriptoren/ proc / selbst / fd, die die Drucke auf dem Dateisystem reduziert und die forensische Analyse erschwert. Der Hinweis auf die Verwendung von memfd _ create findet sich in der Systemdokumentation: Mann 2 memfd _ erstellen.
Ziel war die Umsetzung einer Kryptomoneda-Mine, die mit XMRig. Die heruntergeladenen Konfigurationsdateien zeigen ein Schema für CPU-Mining, mit GPU-Backends deaktiviert, und verbinden Sie mit Stratum-Servern verschlüsselt in Port 3333, die zur Infrastruktur des Angreifers gehören. XMRig ist ein bekanntes Bergbauprojekt und sein Quellcode ist öffentlich verfügbar: https: / / github.com / xmrig / xmrig. Obwohl die Verwendung der Kampagne Bergbau war, ist der Vektor viel gefährlicher: Python-Module wirken als Lastkraftwagen kann jede zweite Stufe unter den Privilegien des kompromittierten Python-Prozesses herunterladen und ausführen.
Diese Art von Operation ist nicht völlig unveröffentlicht: andere Akteure haben verwendet, um Binaries direkt im Speicher laufen, um Artefakte auf Festplatte zu verlassen, eine Taktik in früheren Kryptojacking-Kampagnen dokumentiert. Der laufende Code im Speicher erfordert die Kombination von Signatur-basierter Erkennung mit Prozess- und Netzwerk-Verkehrsüberwachung, da die statische Analyse von Festplattendateien kurz sein kann.
Das Vorhandensein dieses Pakets in PyPI wirft mehrere Überlegungen zur Sicherheit des Paket-Ökosystems auf: die einfache Veröffentlichung von Paketen mit Namen, die beliebte Projekte imitieren, das implizite Vertrauen der Installation von Einheiten, ohne sie zu überprüfen, und die Schwierigkeit, Entwicklungsumgebungen vor Geräten zu schützen, die legitim sind. Pack-Tools und Reputationsdienste helfen, aber die erste Linie der Verteidigung ist immer noch in der Team-Praxis: Überprüfen Sie Namen, überprüfen Hashes, setzen Versionen von Anforderungen und bevorzugen offizielle und unterzeichnete Abhängigkeiten, wo möglich.
Wenn Sie Python-Umgebungen oder Linux-Server verwalten, ist es angebracht, die neuesten Einrichtungen zu prüfen und Prozesse mit ungewöhnlichem Einsatz von CPU, ausgehenden Stratum-Verbindungen oder Ausführungen zu überwachen, die memfd _ erstellen. Ändern von Passwörtern, wenn es Verdacht auf Eindringen und Neuinstallation von zuverlässigen Quellen gibt, sind umsichtige Maßnahmen. Darüber hinaus entwickeln die Community und die öffentlichen Repository-Betreuer weiterhin politische Verbesserungen und Kontrollen, um das Risiko der Paketvermehrung zu reduzieren, aber die Prävention auf der Entwicklerebene bleibt von entscheidender Bedeutung.
Zur weiteren Fall- und technischen Analyse liefert der Socket-Bericht eine detaillierte Überprüfung der Leistungs- und Verpflichtungsindikatoren: Socketanalyse. Das PyPI-Paket ist noch an seinem öffentlichen Eingang verfügbar und die legitime Bibliothek, die supplantiert wurde, ist auf der offiziellen Website von SymPy verfügbar: https: / / www.symphy.org.
Kurz gesagt, die Bedrohung gemischte Sozialtechnik (Projekt supplanting), Vermeidungstechniken (konditionierte Aktivierung und Speicherausführung) und die Verwendung eines generischen Implantators, der, obwohl als Mine von XMRig beobachtet, verwendet werden konnte, um einen anderen böswilligen Code unter den Python Prozessgenehmigungen zu implementieren. Die Geschichte erinnert daran, dass in Drittanbieter-Software Vorsicht nicht optional ist, und dass kleine implizite Vertrauen die Tür zu hochwirksamen Verpflichtungen öffnen kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...