惡意PyPI套件仿冒SymPy，鎖定Linux主機投放挖礦程式

事件概述

資安業者Socket威脅研究團隊揭露，Python套件庫PyPI近期出現名為sympy-dev的惡意套件，刻意仿冒知名符號數學函式庫SymPy的專案描述與呈現方式，誘使開發者在搜尋或安裝時誤用。

攻擊機制

研究人員指出，sympy-dev針對Linux環境並會執行加密貨幣挖礦程式XMRig。該惡意套件將惡意程式碼埋入多項式相關路徑，待使用者呼叫特定函式時才拉取設定檔，並以記憶體方式啟動Linux ELF載入程式，實現無文件執行與隱蔽運作。

影響範圍與風險

此惡意套件透過「文字拼錯」與「專案結構仿冒」技術，偽裝成合法的SymPy開發版本，吸引開發者安裝。一旦執行，將在Linux主機上自動啟動挖礦程式，導致系統資源耗盡與運行效能下降。

相關來源與分析

• https://www.ithome.com.tw/news/173588
• https://www.scworld.com/brief/malicious-python-package-on-pypi-deploys-cryptocurrency-miner
• https://www.facebook.com/photo.php?fbid=1274159124748668&set=a.613296300834957&id=100064637771058
• https://thehackernews.com/2026/01/malicious-pypi-package-impersonates.html
• https://app.daily.dev/posts/malicious-pypi-package-impersonates-sympy-deploys-xmrig-miner-on-linux-hosts-mtttpnqdr
• https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices
• https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9299
• https://www.facebook.com/61550867465910/posts/%E6%96%87%E7%AB%A0%E5%89%96%E6%9E%90%E4%BA%86%E7%99%BC%E7%94%9F%E5%9C%A8-pypi-%E5%AE%98%E6%96%B9%E5%80%89%E5%BA%AB%E7%9A%84%E4%BE%9B%E6%87%89%E9%8F%88%E6%94%BB%E6%93%8A%E6%8A%80%E8%A1%93%E5%88%86%E6%9E%90%E6%8C%87%E5%87%BAthreat-actor-%E5%88%A9%E7%94%A8%E5%90%8D%E7%A8%B1%E8%AA%98%E9%A8%99typosquatting%E6%89%8B%E6%B3%95%E7%99%BC%E5%B8%83%E4%BA%86%E4%B8%80%E5%80%8B%E5%81%BD%E8%A3%9D%E6%88%90%E7%9F%A5%E5%90%8D%E6%95%B8%E5%AD%B8%E5%87%BD%E5%BC%8F%E5%BA%AB-/122339055008028915/
• https://cert.tanet.edu.tw/prog/opendoc.php?id=2018052502050404129385033631215.pdf

來源：https://www.ithome.com.tw/news/173588