Netcrook Logo
👤 AUDITWOLF
🗓️ 22 Jan 2026  

Python Package Masquerade : Comment une fausse bibliothèque SymPy a déployé des mineurs de crypto-monnaie sur Linux

Un dépôt PyPI malveillant trompe les développeurs et transforme du code mathématique en outil de minage clandestin.

Tout a commencé par une simple commande d’installation. Pour plus d’un millier de développeurs, le téléchargement d’une mise à jour apparemment inoffensive d’une bibliothèque mathématique appréciée a peut-être silencieusement transformé leurs machines Linux en mines d’or numériques - mais pas à leur profit.

En bref

  • Un paquet Python malveillant nommé sympy-dev s’est fait passer pour la populaire bibliothèque SymPy sur PyPI.
  • Plus de 1 100 téléchargements depuis le 17 janvier 2026, le paquet restant accessible publiquement au moment de la découverte.
  • Le paquet déployait un mineur de crypto-monnaie XMRig, déclenché par certaines routines mathématiques.
  • Les charges utiles étaient exécutées entièrement en mémoire afin de ne laisser aucune trace sur le disque, en exploitant la fonctionnalité memfd_create de Linux.
  • L’infrastructure d’attaque redirigeait le trafic de minage vers des points de terminaison contrôlés par les acteurs malveillants.

Dans les coulisses : comment les développeurs se sont fait piéger

L’Index des paquets Python (PyPI) est depuis longtemps la pierre angulaire du monde du développement open source. Mais en janvier 2026, il est devenu le théâtre d’une usurpation sophistiquée : un paquet nommé sympy-dev est apparu, copiant mot pour mot la description du projet SymPy de confiance. La ruse ? Attirer les développeurs à installer une “version de développement” de la bibliothèque de mathématiques symboliques. La réalité était bien plus sombre.

Le chercheur en sécurité Kirill Boychenko et l’équipe de Socket ont découvert que sympy-dev était bien plus qu’un simple imitateur. Cachées dans son code, de subtiles modifications : certaines fonctions mathématiques, lorsqu’elles étaient appelées, déclenchaient un piège. Ces routines piégées contactaient discrètement un serveur distant, téléchargeaient un fichier de configuration et un binaire ELF Linux, puis les exécutaient directement en mémoire grâce à memfd_create - une technique conçue pour ne laisser aucune trace sur le disque et échapper à la détection.

La charge utile ? XMRig, un célèbre mineur de crypto-monnaie open source. La configuration assurait que seul le minage CPU était activé (le minage GPU étant désactivé pour plus de discrétion), et toute la monnaie minée était acheminée via des connexions chiffrées vers des serveurs contrôlés par les attaquants. La campagne était conçue pour que le mineur ne s’active que dans des circonstances précises, rendant la détection par les outils de sécurité encore plus difficile.

Si l’objectif principal semblait être le cryptojacking - miner du Monero à l’insu des victimes - , l’architecture de l’implant Python lui permettait de récupérer et d’exécuter n’importe quel code, posant une menace plus large en cas de réutilisation. L’incident rappelle des techniques déjà observées lors de campagnes menées par des groupes comme FritzFrog et Mimo, où l’exécution en mémoire et les communications furtives sont les armes privilégiées.

Ce que cela signifie pour l’écosystème open source

L’incident sympy-dev est un rappel brutal : même des écosystèmes de confiance comme PyPI ne sont pas à l’abri de la manipulation. À mesure que les attaquants redoublent de créativité, la responsabilité de vérifier les paquets et d’examiner les versions “de développement” inattendues incombe de plus en plus aux développeurs et aux équipes de sécurité. Avec la multiplication des attaques sur la chaîne d’approvisionnement, la frontière entre commodité et compromission n’a jamais été aussi mince.

WIKICROOK

  • PyPI : PyPI est le principal dépôt en ligne de paquets logiciels Python, permettant aux développeurs de partager, télécharger et gérer facilement du code Python.
  • SymPy : SymPy est une bibliothèque Python pour les mathématiques symboliques, utile pour l’algèbre, le calcul différentiel et les calculs liés à la cryptographie en cybersécurité.
  • XMRig : XMRig est un programme open source pour miner la crypto-monnaie Monero, souvent détourné par des cybercriminels pour miner secrètement sur les appareils des victimes.
  • Binaire ELF : Le binaire ELF est un format standard de fichiers exécutables et de bibliothèques sur les systèmes de type Unix, crucial en analyse de malwares et en criminalistique numérique.
  • memfd_create : memfd_create est un appel système Linux qui crée des fichiers anonymes en mémoire, souvent exploité par les attaquants pour exécuter des malwares furtifs sans fichier.
Python Cryptocurrency Cybersecurity
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news