حزمة PyPI خبيثة تنتحل SymPy وتزرع XMRig

حزمة PyPI خبيثة تستهدف مطوري بايثون عبر تقمص مكتبة SymPy، وتثبت مُعدّن XMRig على خوادم لينكس بطرق تخفّي متقدمة. التقارير تشير إلى أكثر من 1100 تنزيل.

ما قصة حزمة PyPI خبيثة المنتحلة لـ SymPy؟

الحزمة التي تحمل اسم sympy-dev ظهرت في 17 يناير 2026 داخل مستودع PyPI، ونسخت وصف مشروع SymPy حرفياً لتبدو وكأنها نسخة تطويرية موثوقة. هذا الأسلوب يرفع احتمالية تثبيتها ضمن بيئات الإنتاج والاختبار دون تدقيق.

كيف حاولت الحزمة خداع المطورين؟

الاسم القريب من المكتبة الأصلية والاعتماد على ثقة المطورين بالحزم الشائعة جعلا الهجوم أكثر فعالية. كما أن عدد التنزيلات الذي تجاوز 1100 مرة يشير إلى أن بعض الفرق قد جرّبتها فعلاً.

• اسم قريب من SymPy مع إضافة dev
• نسخ وصف المشروع حرفياً داخل صفحة PyPI
• غياب مؤشرات واضحة عن جهة النشر
• إيهام المستخدمين بأنها نسخة تطويرية غير رسمية

كيف تعمل العدوى على خوادم لينكس؟

التعديل الخبيث لا يعمل دائماً، بل ينتظر استدعاء دوال متعددة الحدود داخل SymPy ليبدأ التحميل، ما يجعل اكتشافه أصعب في الاختبارات السريعة. عند التفعيل يتصل بخادم تحكم لجلب إعدادات التشغيل.

وفقاً لتحليل شركة Socket، يجري تنزيل ملف إعداد بصيغة JSON ثم حمولة ELF، ويتم تشغيلها من الذاكرة عبر memfd_create و /proc/self/fd لتقليل الآثار على القرص. هذه الحيلة معروفة في حملات تعدين سابقة.

تشغيل الملف عبر واصف ملف مجهول يمنع كتابته على القرص، ما يصعّب على أدوات الحماية التقليدية رصده، ويزيد الحاجة إلى مراقبة سلوكية مستمرة.

ما الذي يتم تنزيله فعلياً؟

يتم التواصل مع العنوان 63.250.56[.]54 لاستقبال إعدادات التعدين، ثم تُشغَّل الحمولة مباشرة مع تلك الإعدادات داخل الذاكرة. الهدف النهائي تنزيل ملفين ثنائيين لنظام لينكس يعملان كعميل تعدين.

• تنزيل إعدادات JSON من خادم التحكم البعيد
• جلب حمولة ELF قابلة للتنفيذ
• تشغيل الحمولة من الذاكرة لتقليل الآثار
• بدء اتصال التعدين عبر Stratum مع تشفير TLS

ما تأثير XMRig على الأداء والأمان؟

ملفات الإعداد تعتمد مخطط XMRig المتوافق مع التعدين عبر المعالج فقط، وتوقف وحدات GPU، وتستخدم بروتوكول Stratum عبر TLS على المنفذ 3333. هذا يعني استهلاكاً عالياً للمعالج وتأثيراً مباشراً على الأداء.

• ارتفاع استهلاك CPU وتباطؤ الخدمات
• زيادة فاتورة الطاقة خصوصاً في الخوادم
• تعطيل أدوات المراقبة بسبب التشغيل في الذاكرة
• إمكانية تحميل مراحل خبيثة أخرى لاحقاً

كيف تحمي فرق التطوير مشاريع بايثون؟

ترى تيكبامين أن الخطر الأكبر يكمن في أن الحزمة تعمل كمُحمّل عام يمكنه جلب أي شفرة لاحقة بامتيازات عملية بايثون. لذلك يحتاج المطورون إلى سياسات تحقق صارمة قبل تثبيت أي تبعية جديدة.

خطوات عملية للمراجعة السريعة

• تثبيت الحزم عبر نسخ محددة مع التحقق من الهاش
• مراجعة سجل الناشر وسمعة المشروع قبل الاستخدام
• تشغيل البيئات المعزولة والاختبارات في حاويات
• مراقبة الاتصالات الصادرة لأي عنوان غير معروف
• استخدام أدوات فحص التبعيات والتنبيه المبكر

ختاماً، تكشف حزمة PyPI خبيثة من هذا النوع أن سلسلة الإمداد البرمجية باتت هدفاً مباشراً، وأن الفحص المستمر للتبعيات يختصر المخاطر. راقب السلوك الشبكي وراجع الحزم دورياً لتجنب إعادة العدوى.