Se ha descubierto un paquete engañoso en el repositorio PyPI que se hace pasar por la popular biblioteca SymPy. Este software malicioso apunta a sistemas Linux, descargando y ejecutando el minero de criptomonedas XMRig mediante técnicas en memoria. Investigadores de seguridad han destacado los riesgos de este tipo de ataques a la cadena de suministro en ecosistemas de código abierto.
El Python Package Index (PyPI), un repositorio clave para desarrolladores de Python, se ha convertido en un vector para la distribución de malware. Investigadores de The Hacker News informaron sobre el descubrimiento de un paquete falso llamado «sympy-dev», diseñado para imitar la legítima biblioteca matemática SymPy. Al instalarse, este paquete no proporciona la funcionalidad esperada, sino que inicia una carga útil sigilosa. Específicamente, el malware descarga y ejecuta el minero XMRig, una herramienta comúnmente utilizada para la minería de criptomonedas Monero, en hosts Linux. Emplea métodos de ejecución en memoria para evadir la detección por software antivirus tradicional, permitiendo que el minero opere sin escribir archivos en el disco. Este enfoque minimiza las huellas forenses y complica los esfuerzos de eliminación. Tales incidentes subrayan las vulnerabilidades en las cadenas de suministro de software, donde los desarrolladores podrían instalar inadvertidamente dependencias comprometidas. La biblioteca SymPy, ampliamente utilizada para matemáticas simbólicas en computación científica, es un objetivo atractivo debido a su popularidad. El informe no detalla víctimas específicas ni impactos generalizados, pero el evento sirve como recordatorio para que los usuarios verifiquen la autenticidad de los paquetes y monitoreen comportamientos inusuales del sistema. Los expertos recomiendan escanear dependencias con herramientas como pip-audit y mantener las bibliotecas actualizadas para mitigar estas amenazas. A medida que las plataformas de código abierto crecen, la vigilancia contra tácticas de suplantación sigue siendo crucial para mantener la confianza en el ecosistema.
