SymPy Kütüphanesini Taklit Eden PyPI Paketiyle Linux Sistemlerde XMRig Madenciliği

Anasayfa » SymPy Kütüphanesini Taklit Eden PyPI Paketiyle Linux Sistemlerde XMRig Madenciliği
Kripto Madenciliği, Tedarik Zinciri Saldırıları, Zararlılar
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
SymPy Kütüphanesini Taklit Eden PyPI Paketiyle Linux Sistemlerde XMRig Madenciliği

Saldırının Genel Çerçevesi

Ocak 2026’da ortaya çıkan kötü amaçlı sympy-dev adlı Python paketi, popüler matematik kütüphanesi SymPy’nin geliştirme sürümü gibi görünerek kullanıcıları kandırdı. Paket, PyPI üzerinde 1.100’den fazla indirildi ve halen erişilebilir durumdaydı. Ancak bu paket, Linux sistemlerde XMRig tabanlı kripto para madenciliği yapmak üzere arka planda zararlı kodlar çalıştırıyor.

Yapılan analizlerde, paket orijinal SymPy açıklamasını birebir kopyalayarak güven sağlarken, belirli polinom fonksiyonları çağrıldığında kötü amaçlı davranış tetikleniyor. Bu davranış, sistemde bir arka kapı açarak uzak bir JSON yapılandırması ve ELF ikili dosyası indirip doğrudan bellekte çalıştırıyor. Böylece disk üzerinde iz bırakmadan madencilik faaliyeti yürütülüyor.

Saldırı Zinciri ve Teknik Detaylar

Güvenlik araştırmacıları, bu kampanyada kullanılan tekniklerin FritzFrog ve Mimo gibi önceki kripto madenciliği operasyonlarında da gözlemlendiğini belirtiyor. Paket, Linux’un memfd_create ve /proc/self/fd mekanizmalarını kullanarak anonim bellek destekli dosya tanımlayıcısından ELF yükünü çalıştırıyor. Bu yöntem, tespit edilme riskini azaltıyor.

İndirilen iki Linux ELF ikili dosyası, XMRig madencisini CPU üzerinde çalıştıracak şekilde yapılandırılmış; GPU kullanımı devre dışı bırakılmış ve madencilik trafiği TLS üzerinden tehdit aktörünün kontrolündeki IP adreslerine yönlendiriliyor. Python implantı ise genel amaçlı bir yükleyici olarak davranarak ikinci aşama zararlı kodları indirme ve çalıştırma kapasitesine sahip.

Siber Güvenlik Ekipleri İçin Öneriler

  • PyPI ve diğer paket yöneticilerinde indirilen paketlerin kaynağını ve imzalarını doğrulayın.
  • Linux sistemlerde çalışan Python süreçlerinin davranışlarını EDR çözümleriyle izleyin ve anormal ağ trafiği için uyarılar oluşturun.
  • memfd_create ve /proc/self/fd gibi bellek tabanlı dosya çalıştırma tekniklerini tespit etmek için SIEM sistemlerinde özel kural setleri geliştirin.
  • Kripto madenciliği faaliyetlerini tespit etmek için CPU ve GPU kullanımını düzenli olarak izleyin.
  • Güvenlik duvarı kurallarını gözden geçirerek bilinmeyen IP adreslerine TLS üzerinden yapılan bağlantıları kısıtlayın.
  • Python paketlerinin güncellemelerini ve güvenlik duyurularını takip edin, şüpheli paketleri derhal sistemlerden kaldırın.
  • Olay müdahale planlarında tedarik zinciri saldırılarına yönelik senaryoları dahil edin.

Teknik Özet

  • Kötü amaçlı paket: sympy-dev (PyPI)
  • Kullanılan zararlı araçlar: XMRig madencisi, bellek tabanlı ELF yükleyici
  • Hedef platform: Linux sistemler
  • Saldırı zinciri: Sahte Python paketi indirme → belirli fonksiyon çağrısı ile arka kapı tetikleme → uzak JSON ve ELF dosyası indirme → bellekten ELF çalıştırma → XMRig madenciliği
  • Önerilen savunma: Paket doğrulama, EDR ve SIEM ile anomali tespiti, ağ segmentasyonu, TLS trafiği izleme

Bu tür tedarik zinciri saldırıları, özellikle açık kaynak ekosisteminde e-posta güvenliği ve bulut güvenliği gibi alanlarda da risk oluşturabilir. Kurumsal ortamlar, ağ segmentasyonu ve IAM politikaları ile bu tehditlere karşı daha dirençli hale getirilebilir.

, , , , , , ,