Ett vilseledande paket i PyPI-repositoriet har upptäckts som utger sig för att vara den populära SymPy-biblioteket. Denna skadliga mjukvara riktar sig mot Linux-system, laddar ner och kör XMRig-kryptovalutagruvaren via tekniker i minnet. Säkerhetsforskare har belyst riskerna med sådana försörjningskedjeattacker i open source-ekosystem.
Python Package Index (PyPI), en nyckelresurs för Python-utvecklare, har blivit en vektor för malware-distribution. Forskare vid The Hacker News rapporterade om upptäckten av ett falskt paket vid namn ”sympy-dev”, utformat för att efterlikna det legitima matematikbiblioteket SymPy. Vid installation tillhandahåller paketet inte den förväntade funktionaliteten utan startar istället en dold last. Specifikt hämtar och kör malware-gruvaren XMRig, ett verktyg som ofta används för Monero-kryptovalutagruvning, på Linux-värdar. Det använder minnesexekveringsmetoder för att undvika detektering av traditionell antivirusprogramvara, vilket tillåter gruvaren att fungera utan att skriva filer till disken. Detta tillvägagångssätt minimerar forensiska spår och komplicerar borttagningsinsatser. Sådana incidenter understryker sårbarheter i mjukvaruförsörjningskedjor, där utvecklare omedvetet kan installera komprometterade beroenden. SymPy-biblioteket, som används brett för symbolisk matematik i vetenskaplig databehandling, är ett attraktivt mål på grund av sin popularitet. Inga specifika offer eller omfattande effekter specificerades i rapporten, men händelsen påminner användare om att verifiera paketautenticitet och övervaka ovanliga systembeteenden. Experter rekommenderar skanning av beroenden med verktyg som pip-audit och att hålla biblioteken uppdaterade för att mildra dessa hot. Med open source-plattformars tillväxt är vaksamhet mot impersoneringstaktiker avgörande för att upprätthålla förtroendet i ekosystemet.
