كشفت تقارير أمنية حديثة عن ظهور حزمة خبيثة في مستودع Python Package Index (PyPI) تحمل اسم sympy-dev، تنتحل مكتبة الرياضيات الرمزية الشهيرة SymPy، بهدف خداع المطورين وتنزيل برمجيات ضارة على أنظمة لينكس.
تفاصيل الحملة الخبيثة
الحزمة المزيفة نُشرت في 17 يناير 2026، وجرى تحميلها أكثر من 1,100 مرة حتى الآن، ما يشير إلى أن عدداً من المطورين ربما وقعوا ضحية لهذه الحملة. وقد أعادت الحزمة وصف مشروع SymPy الأصلي حرفياً لتبدو وكأنها نسخة تطويرية شرعية.
وفقاً لشركة Socket، فإن الحزمة المعدلة تعمل كـ أداة تنزيل (Downloader) لبرمجية تعدين العملات الرقمية XMRig، حيث يتم تفعيل السلوك الخبيث فقط عند استدعاء روتينات رياضية معينة، وذلك لتجنب لفت الانتباه.
آلية التنفيذ والتخفي
أوضح الباحث الأمني كيريل بويشينكو أن الدوال المعدلة تقوم عند تشغيلها بجلب ملف إعدادات JSON من خادم بعيد، ثم تنزيل ملف ELF خبيث وتشغيله مباشرة من الذاكرة باستخدام تقنيات مثل memfd_create و/proc/self/fd، مما يقلل من الآثار على القرص ويصعّب عملية الكشف.
هذا الأسلوب سبق استخدامه في حملات Cryptojacking مثل FritzFrog وMimo، ويهدف إلى تشغيل مُعدّن العملات الرقمية دون ترك آثار واضحة على النظام.
الهدف النهائي للهجوم
البرمجيات الخبيثة تقوم بتنزيل ملفين تنفيذيين (ELF) مخصصين لتعدين العملات الرقمية باستخدام XMRig على أنظمة لينكس. وتُظهر ملفات الإعدادات أن الهجوم يعتمد على مخطط متوافق مع XMRig يتيح التعدين عبر المعالج (CPU)، مع تعطيل دعم وحدات معالجة الرسوميات (GPU)، وتوجيه عمليات التعدين إلى خوادم Stratum عبر TLS على المنفذ 3333 المرتبط بعناوين IP يسيطر عليها المهاجمون.
خطورة الحملة وأبعادها
رغم أن الحملة تركز على التعدين، إلا أن الباحثين حذروا من أن الحزمة الخبيثة تعمل أيضاً كـ محمل عام (General Purpose Loader) قادر على جلب وتنفيذ أي برمجيات إضافية تحت صلاحيات عملية بايثون، ما يفتح الباب أمام هجمات أكثر تنوعاً وخطورة.
