Backdoored Telnyx PyPI package pushes malware hidden in WAV audio

Compromission de la chaîne d’approvisionnement du SDK Telnyx sur PyPI

Le groupe de hackers « TeamPCP » a compromis le SDK Python officiel de Telnyx sur le dépôt PyPI en publiant les versions malveillantes 4.87.1 et 4.87.2. Ces versions injectent un logiciel espion capable de dérober des identifiants, des clés SSH, des jetons cloud et des portefeuilles de cryptomonnaies en dissimulant le code malveillant dans des fichiers audio WAV via stéganographie.

Points clés :

• Mode opératoire : Le code malveillant s’exécute automatiquement lors de l’importation de la bibliothèque.
• Dissimulation : Utilisation de fichiers .wav (ex: ringtone.wav, hangup.wav) contenant une charge utile chiffrée en XOR, extraite et exécutée en mémoire.
• Persistance : Sur Windows, le malware se copie dans le dossier de démarrage ; sur Linux/macOS, il cible également les environnements Kubernetes pour exfiltrer des secrets de clusters.
• Attribution : Le mode opératoire est identique aux récentes attaques contre Trivy et LiteLLM, attribuées au groupe TeamPCP.

Vulnérabilités :

• Aucun identifiant CVE spécifique n’est associé à cette attaque, car il s’agit d’une compromission de compte (supply-chain attack) via le vol présumé des identifiants de publication sur PyPI.

Recommandations :

• Suppression immédiate : Rétrograder immédiatement vers la version 4.87.0, qui est la dernière version saine connue.
• Réinitialisation des secrets : Considérer tout système ayant utilisé les versions compromises comme totalement compromis. Procéder à une rotation immédiate de tous les secrets, clés API, clés SSH et jetons d’accès présents sur ces machines.
• Audit de sécurité : Vérifier les journaux d’exécution à la recherche d’activités suspectes (connexions vers des serveurs C2 inconnus ou déploiement de pods Kubernetes non autorisés).

Source