Масирана атака по веригата за доставки на Python

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Днес хакерската група TeamPCP компрометира популярния Python пакет Telnyx SDK, качвайки зловредни версии 4.87.1 и 4.87.2, които включват malware за кражба на креденшъли, скрит в WAV файлове.

Инцидентът беше засечен от фирмите за сигурност Aikido, Socket и Endor Labs. Приписването на TeamPCP се базира на същия модел на ексфилтрация и RSA ключ, използвани при предишни атаки.

Защо атаката е особено опасна

  • Telnyx SDK е официалният Python пакет за интеграция на комуникационни услуги като VoIP, SMS, MMS, WhatsApp, факс и IoT.
  • Пакетът е изключително популярен – над 740 000 изтегляния на месец.
  • TeamPCP вече е отговорна за редица supply-chain и wiper атаки, включително срещу Aqua Security Trivy и библиотеката LiteLLM.

Механизъм на атаката

1. Малуер при импортиране

  • Зловредният код е в telnyx/_client.py
  • Той се активира автоматично при импорт, като позволява SDK да функционира легитимно
  • На Linux и macOS payload-а стартира процес, който изтегля втори етап, скрит като WAV файл (ringtone.wav) от C2 сървър

2. Стеганография

  • Кодът е вграден в аудио данните на WAV файла без да променя звука
  • Извлича се с XOR декрипция и се изпълнява в паметта, за да събира:
    • SSH ключове
    • Креденшъли
    • Cloud токени
    • Криптовалути
    • Променливи на средата и други тайни

3. Kubernetes компрометация

  • Ако Kubernetes е наличен, malware-а:
    • изброява cluster secrets
    • създава привилегировани pods
    • опитва достъп до host системата

4. Поведение на Windows

  • Изтегля hangup.wav, която извлича msbuild.exe
  • Поставя executable в Startup за автоматично стартиране
  • Lock файл ограничава повторно изпълнение в 12-часови интервали

Какво да направят разработчиците

  1. Проверете версията на Telnyx:
    • 4.87.0 – чиста и безопасна
    • 4.87.1 и 4.87.2 – зловредни
  2. Ако сте използвали компрометиран пакет:
    • Третирайте системата като напълно компрометирана
    • Ротирайте всички секрети и токени незабавно
  3. Върнете се на версия 4.87.0 и забранете инсталации на по-новите версии докато няма официална корекция

Тази атака подчертава опасността от supply-chain компрометации в Python екосистемата. Дори легитимен и широко използван SDK може да се превърне в канал за ексфилтрация на чувствителни данни, ако публикуването в PyPI бъде компрометирано.

Никога не се разчита на автоматично доверие към пакети, дори когато са популярни и официални – проверка на версии и източници е задължителна.

#credential stealing, # Python, # supply chain attack, # TeamPCP, # Telnyx SDK
e-security.bg

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy