Quería calcular integrales y me topé con un minero de criptomonedas: la rutina de un desarrollador Python en 2026
Hackers pensaron que tu procesador se aburría y lo pusieron a minar Monero.
En el repositorio oficial de PyPI se ha detectado un paquete malicioso que se hace pasar por una biblioteca popular para cálculo simbólico. Los atacantes copiaron la descripción del proyecto legítimo para presentar el malware como su versión preliminar y engañar a desarrolladores que usan Python. Tras la suplantación se encuentra un intento de infectar sistemas con una carga maliciosa seguido del lanzamiento de un minero de criptomonedas en dispositivos que ejecutan Linux.
El paquete llamado sympy-dev fue publicado el 17 de enero y desde entonces ha acumulado más de 1100 descargas. Esto podría indicar que el software malicioso ya ha llegado a entornos de trabajo. Se distribuye a través de PyPI y, al momento de la publicación, sigue estando disponible para su instalación. El malware utiliza el nombre y la descripción de la biblioteca SymPy, suplantando el proyecto original y generando confianza en los usuarios.
Especialistas de la empresa Socket analizaron el comportamiento malicioso y determinaron que la biblioteca se usa como cargador para el minero XMRig. El código implantado se activa solo cuando se invocan determinadas funciones polinomiales, lo que le permite permanecer desapercibido por más tiempo.
Las funciones modificadas contactan con un servidor remoto, desde donde obtienen un archivo de configuración en formato JSON y un archivo ejecutable ELF. Luego este se ejecuta directamente desde la memoria mediante los mecanismos memfd_create y /proc/self/fd, lo que reduce la probabilidad de detección al no dejar trazas en el disco.
El método utilizado ya se ha aplicado en otras campañas de minado oculto, incluidas las conocidas como FritzFrog y Mimo. Los atacantes usan la dirección IP 63.250.56[.]54 para descargar la carga útil y su configuración.
La tarea principal del código malicioso es implantar dos archivos ELF destinados a la minería de criptomonedas por CPU utilizando XMRig en hosts Linux. Las configuraciones ajustan el funcionamiento con una conexión TLS a través del protocolo Stratum en el puerto 3333 y desactivan el uso de unidades de procesamiento gráfico, concentrándose exclusivamente en la carga del procesador central.
Los especialistas subrayan que el componente implantado es capaz no solo de ejecutar XMRig sino también de ejecutar código adicional arbitrario. Esto lo convierte en una herramienta versátil que abre posibilidades para ataques posteriores en nombre del proceso Python en ejecución.