A sophisticated supply chain attack is using a fake SymPy package on PyPI to deploy XMRig miners on Linux hosts. Discover how this impersonation attack works and...
Read more: https://captechgroup.com/about-us/threat-intelligence-center/malicious-pypi-package-impersonates-sympy-deploys-8ec451
Read more: https://captechgroup.com/about-us/threat-intelligence-center/malicious-pypi-package-impersonates-sympy-deploys-8ec451
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A sophisticated supply chain attack is using a fake SymPy package on PyPI to deploy XMRig miners on ...
captechgroup.com
February 11, 2026 at 12:46 AM
A sophisticated supply chain attack is using a fake SymPy package on PyPI to deploy XMRig miners on Linux hosts. Discover how this impersonation attack works and...
Read more: https://captechgroup.com/about-us/threat-intelligence-center/malicious-pypi-package-impersonates-sympy-deploys-8ec451
Read more: https://captechgroup.com/about-us/threat-intelligence-center/malicious-pypi-package-impersonates-sympy-deploys-8ec451
Just had an intruder on my #frigate instance. Rewrites the config with a payload to download xmrig from github, build it, and start mining #monero ... Mucks with the nginx config while doing so. Annoying as shit. Can't see how they're getting in to be able to edit the config.
January 30, 2026 at 10:18 PM
Fake PyPI package pretending to be SymPy found installing XMRig miner on Linux hosts.
👉 sctocs.com/malicious-py...
👉 sctocs.com/malicious-py...
Malicious PyPI Package Masquerades As SymPy And Deploys XMRig Miner On Linux Hosts - SCtoCS
A malicious PyPI package posing as SymPy was found deploying the XMRig miner on Linux hosts, highlighting supply chain risks.
sctocs.com
January 24, 2026 at 10:18 AM
Fake PyPI package pretending to be SymPy found installing XMRig miner on Linux hosts.
👉 sctocs.com/malicious-py...
👉 sctocs.com/malicious-py...
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts thehackernews.com/2026/01/mali...
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A fake sympy-dev package on PyPI impersonates the SymPy library to download and run XMRig cryptominers on Linux using in-memory execution.
thehackernews.com
January 24, 2026 at 5:42 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts thehackernews.com/2026/01/mali...
Alert: Malicious PyPI package 'sympy-dev' impersonates SymPy to deploy XMRig miner on Linux systems. Developers, verify package authenticity to protect your projects. #CyberSecurity #PyPI #Cryptojacking Link: thedailytechfeed.com/malicious-py...
January 23, 2026 at 6:18 PM
Alert: Malicious PyPI package 'sympy-dev' impersonates SymPy to deploy XMRig miner on Linux systems. Developers, verify package authenticity to protect your projects. #CyberSecurity #PyPI #Cryptojacking Link: thedailytechfeed.com/malicious-py...
#Python : Malicious #PyPI Package called 'sympy-dev' Impersonates #SymPy, Deploys XMRig Miner on Linux Hosts:
#SoftwareSupplyChainSecurity
👇
#SoftwareSupplyChainSecurity
👇
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A fake sympy-dev package on PyPI impersonates the SymPy library to download and run XMRig cryptominers on Linux using in-memory execution.
thehackernews.com
January 23, 2026 at 10:43 AM
#Python : Malicious #PyPI Package called 'sympy-dev' Impersonates #SymPy, Deploys XMRig Miner on Linux Hosts:
#SoftwareSupplyChainSecurity
👇
#SoftwareSupplyChainSecurity
👇
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency mi…
#hackernews #news
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency mi…
#hackernews #news
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency miner, on Linux hosts.
The package, named sympy-dev, mimics SymPy, replicating the latter's project description verbatim in an attempt to deceive unsuspecting users into thinking that they are
thehackernews.com
January 23, 2026 at 6:25 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency mi…
#hackernews #news
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency mi…
#hackernews #news
Malicious PyPI Package Impersonates SymPy Deploys XMRig Miner on Linux Hosts reconbee.com/malicious-py...
#PyPI #PyPIpackages #SymPy #XMRigminer #linuxhosts #linux #cybersecurity #cyberattack
#PyPI #PyPIpackages #SymPy #XMRigminer #linuxhosts #linux #cybersecurity #cyberattack
Malicious PyPI Package Impersonates SymPy Deploys XMRig Miner on Linux Hosts
In order to evade detection read more about Malicious PyPI Package Impersonates SymPy Deploys XMRig Miner on Linux Hosts
reconbee.com
January 22, 2026 at 12:37 PM
Malicious PyPI Package Impersonates SymPy Deploys XMRig Miner on Linux Hosts reconbee.com/malicious-py...
#PyPI #PyPIpackages #SymPy #XMRigminer #linuxhosts #linux #cybersecurity #cyberattack
#PyPI #PyPIpackages #SymPy #XMRigminer #linuxhosts #linux #cybersecurity #cyberattack
iT4iNT SERVER Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts VDS VPS Cloud #PyPI #Malware #SymPy #XMRig #Cryptocurrency
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A new malicious package discovered in the Python Package Index (PyPI) has been found to impersonate a popular library for symbolic mathematics to deploy malicious payloads, including a cryptocurrency miner, on Linux hosts.
The package, named sympy-dev, mimics SymPy, replicating the latter's project description verbatim in an attempt to deceive unsuspecting users into thinking that they are
dlvr.it
January 22, 2026 at 11:38 AM
iT4iNT SERVER Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts VDS VPS Cloud #PyPI #Malware #SymPy #XMRig #Cryptocurrency
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
#thehackersnews
#thehackersnews
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A fake sympy-dev package on PyPI impersonates the SymPy library to download and run XMRig cryptominers on Linux using in-memory execution.
thehackernews.com
January 22, 2026 at 11:30 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
#thehackersnews
#thehackersnews
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxシステムにXMRigマイナーをインストール
PyPIで発見された悪意のあるPythonパッケージ:新たなクリプトジャッキングの脅威 脅威の概要 Python Package…
PyPIで発見された悪意のあるPythonパッケージ:新たなクリプトジャッキングの脅威 脅威の概要 Python Package…
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxシステムにXMRigマイナーをインストール
PyPIで発見された悪意のあるPythonパッケージ:新たなクリプトジャッキングの脅威 脅威の概要 Python Package Index(PyPI)で新たに特定された悪意のあるパッケージが、著名な記号計算ライブラリであるSymPyを模倣することで、開発者に重大なリスクをもたらしています。この悪意のあるパッケージはsympy-devと名付けられており、Linuxベースのシステムに有害なペイロード、特に暗号通貨マイナーを配布するために使用されたと報告されています。これは、ソフトウェアリポジトリのセキュリティ対策の有効性に深刻な懸念を投げかけます。 悪意のあるパッケージの仕組み sympy-devパッケージは、元のSymPyライブラリの説明文を巧妙に複製し、利用者に正規の開発版をダウンロードしていると誤認させます。2026年1月17日の公開以降、この欺瞞的なパッケージは1,100回以上ダウンロードされています。ダウンロード数は侵害されたシステム数と直接一致するわけではありませんが、一部の開発者が気付かぬうちにこの攻撃の被害に遭った可能性を示しています。 悪意のある挙動の詳細 ダウンロードされると、sympy-devパッケージは秘匿的に動作します。サイバーセキュリティ企業Socketによれば、元のライブラリは改変され、侵害された任意のマシン上でXMRig暗号通貨マイナーのダウンローダーとして機能するようになっています。特筆すべき点として、この悪意のある活動は特定の多項式ルーチンが実行された場合にのみ起動し、従来のセキュリティ対策による検知を回避するのに役立っています。 セキュリティ研究者のKirill Boychenkoは、バックドア化された関数がどのように動作するかについて洞察を提供しました。これらの関数がトリガーされると、リモートサーバーに接続して設定ファイルをダウンロードし、ELFペイロードを実行します。この実行方法では、memfd_createや/proc/self/fdといった高度な手法が用いられ、ディスク上に悪意のある痕跡が残るのを最小限に抑えるため、検知が困難になります。 技術的な洞察 この悪意のあるパッケージは、リモートのJSON設定とELFペイロードを取得するダウンローダーを起動します。この構成により、ELFバイナリと付随する設定がメモリ上で展開・実行され、従来の検知メカニズムを効果的に回避します。こうした手法の使用は、過去にも他のクリプトジャッキングキャンペーン、特にFritzFrogやMimoに関連するものでも観測されています。 この悪意のある作戦の主目的は、XMRigを介して暗号通貨をマイニングするために設計された2つのLinux ELFバイナリをダウンロードすることです。これらのバイナリは、CPUマイニングを可能にしつつGPUバックエンドを無効化するXMRig互換スキーマで動作するようカスタマイズされています。さらに、同一の脅威アクターが管理するIPアドレス上でホストされるStratum TLSエンドポイントへ接続するよう設定されています。 より広範な影響 このキャンペーンでは暗号通貨マイニングに焦点が当てられているものの、Pythonのインプラントは汎用ローダーとして機能する点に注意が必要です。つまり、親となるPythonプロセスの実行権限の下で、任意の第2段階コードを取得して実行できる能力を持ちます。このような汎用性は、さまざまな分野のLinuxシステムを標的とする、さらに深刻な攻撃へ発展する可能性を示唆しています。 開発者が知っておくべきこと 開発者は、信頼できるリポジトリからであっても、ダウンロードして使用するパッケージに対して警戒を怠らないようにすべきです。sympy-devの事案は、特にオープンソース環境においてマルウェアが常に脅威であることを痛烈に思い起こさせます。ダウンロード状況を定期的に監視し、堅牢なセキュリティ対策を実装することは、不審なパッケージに伴うリスクを軽減するうえで重要な役割を果たします。 進化する脅威の状況 多くのサイバーセキュリティ上の課題と同様に、認識を維持し、能動的な対策を講じることが鍵となります。マルウェアを展開する高度な手法の出現は、開発者コミュニティにおける継続的な警戒の必要性を浮き彫りにしています。最新のサイバーセキュリティ推奨事項を把握し、ソフトウェアを定期的に更新することで、こうした脅威に対する防御を大幅に強化できます。 結論 sympy-devパッケージの発見は、PyPI内の脆弱性を浮き彫りにするだけでなく、プログラミングコミュニティにとって重要な教訓にもなります。脅威が進化する中、継続的な教育とセキュリティ意識の向上は、ソフトウェア開発と管理における良い実践のために不可欠です。 翻訳元:
blackhatnews.tokyo
January 22, 2026 at 11:24 AM
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxシステムにXMRigマイナーをインストール
PyPIで発見された悪意のあるPythonパッケージ:新たなクリプトジャッキングの脅威 脅威の概要 Python Package…
PyPIで発見された悪意のあるPythonパッケージ:新たなクリプトジャッキングの脅威 脅威の概要 Python Package…
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
thehackernews.com
January 22, 2026 at 11:15 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts
A malicious PyPI package impersonating SymPy installs an XMRig cryptocurrency miner on Linux by downloading and executing ELF payloads in memory.
Save What Matters
Curate Feeds | Make Collections | Customize Email Briefs
briefly.co
January 22, 2026 at 10:48 AM
A malicious PyPI package impersonating SymPy installs an XMRig cryptocurrency miner on Linux by downloading and executing ELF payloads in memory.
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts https://thehackernews.com/2026/01/malicious-pypi-package-impersonates.html
January 22, 2026 at 10:48 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts https://thehackernews.com/2026/01/malicious-pypi-package-impersonates.html
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxホストにXMRigマイナーを展開
Python Package Index(PyPI)で新たに発見された悪意のあるパッケージが、記号計算で人気のライブラリになりすまして、暗号資産マイナーを含む悪意のあるペイロードをLinuxホストに展開することが判明した。…
Python Package Index(PyPI)で新たに発見された悪意のあるパッケージが、記号計算で人気のライブラリになりすまして、暗号資産マイナーを含む悪意のあるペイロードをLinuxホストに展開することが判明した。…
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxホストにXMRigマイナーを展開
Python Package Index(PyPI)で新たに発見された悪意のあるパッケージが、記号計算で人気のライブラリになりすまして、暗号資産マイナーを含む悪意のあるペイロードをLinuxホストに展開することが判明した。 sympy-devと名付けられたこのパッケージは、SymPyを模倣し、同プロジェクトの説明文をそのまま複製することで、利用者を欺き、ライブラリの「開発版」をダウンロードしていると思い込ませようとしている。2026年1月17日に初めて公開されて以降、1,100回以上ダウンロードされている。 ダウンロード数は感染数を測る信頼できる尺度ではないものの、この数字は一部の開発者がこの悪意あるキャンペーンの被害に遭った可能性を示唆している。執筆時点でも当該パッケージはダウンロード可能な状態にある。 Socketによると、元のライブラリは侵害されたシステム上でXMRig暗号資産マイナーのダウンローダーとして機能するよう改変されている。この悪意ある挙動は、特定の多項式ルーチンが呼び出されたときにのみ発動するよう設計されており、検知を回避する狙いがある。 「呼び出されると、バックドア化された関数はリモートのJSON設定を取得し、脅威アクターが管理するELFペイロードをダウンロードし、その後、Linuxのmemfd_createと/proc/self/fdを用いて匿名のメモリバックドファイルディスクリプタから実行します。これによりディスク上の痕跡が減少します」と、セキュリティ研究者のKirill Boychenkoは水曜日の分析で述べた。 改変された関数はダウンローダーを実行するために用いられ、これは「63.250.56[.]54」からリモートのJSON設定とELFペイロードを取得し、その後、ディスクに痕跡を残さないよう、設定を入力としてELFバイナリをメモリ上で直接起動する。この手法は、FritzFrogやMimoが主導したクリプトジャッキング・キャンペーンでも以前採用されている。 攻撃の最終目的は、Linuxホスト上でXMRigを用いて暗号資産をマイニングするよう設計された2つのLinux ELFバイナリをダウンロードすることだ。 「取得された両方の設定は、CPUマイニングを有効化し、GPUバックエンドを無効化し、同一の脅威アクター管理下のIPアドレスでホストされるポート3333のTLS上Stratumエンドポイントへマイナーを誘導する、XMRig互換のスキーマを使用しています」とSocketは述べた。 「このキャンペーンでは暗号資産マイニングを観測しましたが、Pythonのインプラントは汎用ローダーとして機能し、Pythonプロセスの権限の下で任意の第2段階コードを取得して実行できます。」 翻訳元:
blackhatnews.tokyo
January 22, 2026 at 10:47 AM
悪意のあるPyPIパッケージがSymPyになりすまし、LinuxホストにXMRigマイナーを展開
Python Package Index(PyPI)で新たに発見された悪意のあるパッケージが、記号計算で人気のライブラリになりすまして、暗号資産マイナーを含む悪意のあるペイロードをLinuxホストに展開することが判明した。…
Python Package Index(PyPI)で新たに発見された悪意のあるパッケージが、記号計算で人気のライブラリになりすまして、暗号資産マイナーを含む悪意のあるペイロードをLinuxホストに展開することが判明した。…
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts #cybersecurity #hacking #news #infosec #security #technology #privacy thehackernews.com/20...
January 22, 2026 at 10:42 AM
Malicious PyPI Package Impersonates SymPy, Deploys XMRig Miner on Linux Hosts #cybersecurity #hacking #news #infosec #security #technology #privacy thehackernews.com/20...
Security Alert: Malicious PyPI Package 'sympy-dev' mimics SymPy and deploys XMRig miner on Linux. Stay vigilant when installing packages.
January 22, 2026 at 10:37 AM
Security Alert: Malicious PyPI Package 'sympy-dev' mimics SymPy and deploys XMRig miner on Linux. Stay vigilant when installing packages.
~Socket~
The malicious PyPI package 'sympy-dev' typosquats the popular 'sympy' library to download and execute XMRig cryptomining malware.
-
IOCs: 63. 250. 56. 54, 185. 167. 99. 46
-
#Malware #PyPI #SupplyChain #ThreatIntel
The malicious PyPI package 'sympy-dev' typosquats the popular 'sympy' library to download and execute XMRig cryptomining malware.
-
IOCs: 63. 250. 56. 54, 185. 167. 99. 46
-
#Malware #PyPI #SupplyChain #ThreatIntel
Malicious PyPI Package 'sympy-dev' Delivers Cryptominer
socket.dev
January 22, 2026 at 4:04 AM
~Socket~
The malicious PyPI package 'sympy-dev' typosquats the popular 'sympy' library to download and execute XMRig cryptomining malware.
-
IOCs: 63. 250. 56. 54, 185. 167. 99. 46
-
#Malware #PyPI #SupplyChain #ThreatIntel
The malicious PyPI package 'sympy-dev' typosquats the popular 'sympy' library to download and execute XMRig cryptomining malware.
-
IOCs: 63. 250. 56. 54, 185. 167. 99. 46
-
#Malware #PyPI #SupplyChain #ThreatIntel
Use of XMRig Cryptominer by Threat Actors Expanding: Expel Introduction to Malware Binary Triage (IMBT) Course Looking to level up your skills? Get 10% off using coupon code: MWNEWS10 for any flavo...
#Malware #News
Origin | Interest | Match
#Malware #News
Origin | Interest | Match
Use of XMRig Cryptominer by Threat Actors Expanding: Expel
Introduction to Malware Binary Triage (IMBT) Course Looking to level up your skills? Get 10% off using coupon code: MWNEWS10 for any flavor. Enroll Now and Save 10%: Coupon Code MWNEWS10 Note: Affiliate link – your enrollment helps support this platform at no extra cost to you. Security researchers last year wrote about a surge in the use by threat actors of the legitimate XMRig cryptominer, and cybersecurity firm Expel is now outlining the widening number of malicious ways they're deployi...
malware.news
January 9, 2026 at 7:50 PM
Use of XMRig Cryptominer by Threat Actors Expanding: Expel Security researchers last year wrote about a surge in the use by threat actors of the legitimate XMRig cryptominer, and cybersecurity firm...
#Cloud #Security #Cybersecurity #Data #Privacy […]
[Original post on securityboulevard.com]
#Cloud #Security #Cybersecurity #Data #Privacy […]
[Original post on securityboulevard.com]
January 9, 2026 at 7:39 PM
Use of XMRig Cryptominer by Threat Actors Expanding: Expel Security researchers last year wrote about a surge in the use by threat actors of the legitimate XMRig cryptominer, and cybersecurity firm...
#Cloud #Security #Cybersecurity #Data #Privacy […]
[Original post on securityboulevard.com]
#Cloud #Security #Cybersecurity #Data #Privacy […]
[Original post on securityboulevard.com]
We're seeing XMRig cryptominers popping up everywhere recently. Threat actors love them because they’re a simple way to make money, and they can go unnoticed.
Here's how to spot them and shut them down before threat actors start monetizing: expel.com/blog/on-the-...
Here's how to spot them and shut them down before threat actors start monetizing: expel.com/blog/on-the-...
On the radar: Weeding out XMRig
XMRig is a cryptocurrency miner considered less malicious than other threats, but it's still worth prioritizing.
expel.com
January 7, 2026 at 7:47 PM
We're seeing XMRig cryptominers popping up everywhere recently. Threat actors love them because they’re a simple way to make money, and they can go unnoticed.
Here's how to spot them and shut them down before threat actors start monetizing: expel.com/blog/on-the-...
Here's how to spot them and shut them down before threat actors start monetizing: expel.com/blog/on-the-...
💡 Summary:
ジェイク・サンダースのブログでは、彼のサーバーがUmamiのNext.jsをベースとしたコンテナの脆弱性(CVE-2025-66478)を突かれて侵害され、10日間にわたりxmrigを使った不正なモネロマイニングが行われたセキュリティインシデントについて詳述しています。最初はホストシステム自体が侵害されたのではないかと懸念されましたが、コンテナの隔離機能によりマルウェアの持ち出しは防がれました。この事件は、適切なコンテナセキュリティの実践や迅速なアップデート、層を重ねた防御の重要性を浮き彫りにしました。サンダースは、 (1/2)
ジェイク・サンダースのブログでは、彼のサーバーがUmamiのNext.jsをベースとしたコンテナの脆弱性(CVE-2025-66478)を突かれて侵害され、10日間にわたりxmrigを使った不正なモネロマイニングが行われたセキュリティインシデントについて詳述しています。最初はホストシステム自体が侵害されたのではないかと懸念されましたが、コンテナの隔離機能によりマルウェアの持ち出しは防がれました。この事件は、適切なコンテナセキュリティの実践や迅速なアップデート、層を重ねた防御の重要性を浮き彫りにしました。サンダースは、 (1/2)
December 18, 2025 at 9:43 AM
💡 Summary:
ジェイク・サンダースのブログでは、彼のサーバーがUmamiのNext.jsをベースとしたコンテナの脆弱性(CVE-2025-66478)を突かれて侵害され、10日間にわたりxmrigを使った不正なモネロマイニングが行われたセキュリティインシデントについて詳述しています。最初はホストシステム自体が侵害されたのではないかと懸念されましたが、コンテナの隔離機能によりマルウェアの持ち出しは防がれました。この事件は、適切なコンテナセキュリティの実践や迅速なアップデート、層を重ねた防御の重要性を浮き彫りにしました。サンダースは、 (1/2)
ジェイク・サンダースのブログでは、彼のサーバーがUmamiのNext.jsをベースとしたコンテナの脆弱性(CVE-2025-66478)を突かれて侵害され、10日間にわたりxmrigを使った不正なモネロマイニングが行われたセキュリティインシデントについて詳述しています。最初はホストシステム自体が侵害されたのではないかと懸念されましたが、コンテナの隔離機能によりマルウェアの持ち出しは防がれました。この事件は、適切なコンテナセキュリティの実践や迅速なアップデート、層を重ねた防御の重要性を浮き彫りにしました。サンダースは、 (1/2)