Хакеры из группы TeamPCP взломали популярный Python SDK Telnyx, насчитывающий более 740 тыс. скачиваний в месяц. Злоумышленники опубликовали версии 4.87.1 и 4.87.2, в которых содержится вредоносный код для кражи данных.
Пакет Telnyx используется для интеграции VoIP, SMS, MMS, WhatsApp, факса и IoT в приложения. Первыми атаку заметили компании Aikido, Socket и Endor Labs. Сообщается, что вредоносный код спрятан в файле telnyx/_client.py и запускается при импорте модуля, не нарушая работу легитимных функций. Он использует стеганографию в WAV-файлах для доставки полезной нагрузки.
На Linux и macOS он загружает файл ringtone.wav с сервера C2, в котором скрыт зашифрованный payload, крадущий SSH-ключи, учётные данные, облачные токены и криптокошельки. На Windows скачивается hangup.wav, из которого извлекается исполняемый файл msbuild.exe. Он копируется в папку автозагрузки (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) и запускается при входе.
Предполагается, что злоумышленники получили доступ к Telnyx через украденные учётные данные PyPI. Вредоносные версии распространялись до 13 ч. 13 мин. 27 марта, затем PyPI их заблокировал. Инфраструктура Telnyx не пострадала.
Разработчикам советуют срочно откатиться на версию 4.87.0, а любые системы с установленными версиями 4.87.1/4.87.2 считать скомпрометированными. Пострадавшим пользователям рекомендуют сменить все пароли, ключи и токены.
