Złośliwe wersje pakietu Telnyx w PyPI: TeamPCP ukrywa stealer w plikach WAV

Wprowadzenie do problemu / definicja

Ekosystem open source ponownie znalazł się w centrum uwagi po wykryciu złośliwych wersji pakietu telnyx w repozytorium PyPI. Incydent wpisuje się w kategorię ataków na łańcuch dostaw oprogramowania, w których napastnicy kompromitują zaufane komponenty używane przez deweloperów, systemy CI/CD i środowiska produkcyjne. W tym przypadku szczególną uwagę zwraca fakt, iż końcowy ładunek został ukryty w plikach WAV, co wskazuje na próbę obejścia klasycznych mechanizmów detekcji.

Zagrożenie było istotne nie tylko ze względu na samą obecność złośliwego kodu, ale również przez sposób jego uruchamiania. Modyfikacja została osadzona w module wykonywanym już podczas importu biblioteki, co oznacza, iż kompromitacja mogła nastąpić bez dodatkowej interakcji użytkownika i bez uruchamiania podejrzanych skryptów manualnie.

W skrócie

• 27 marca 2026 roku w PyPI pojawiły się złośliwe wersje pakietu telnyx: 4.87.1 oraz 4.87.2.
• Kampania jest łączona z grupą TeamPCP, znaną z wcześniejszych incydentów supply chain.
• Złośliwy kod działał na Windows, Linux i macOS.
• Payload był dostarczany z użyciem plików audio WAV, co utrudniało wykrycie.
• Zalecanym działaniem było wycofanie się do wersji 4.87.0, przegląd środowisk i rotacja sekretów.

Kontekst / historia

Atak na pakiet Telnyx nie wygląda na przypadkowy incydent, ale na element szerszej kampanii wymierzonej w popularne komponenty developerskie. Tego typu biblioteki często mają dostęp do zmiennych środowiskowych, sekretów aplikacyjnych, tokenów API i konfiguracji wykorzystywanych przez pipeline’y automatyzujące budowanie, testowanie i wdrażanie oprogramowania.

To ważna ewolucja taktyki napastników. Zamiast opierać się wyłącznie na typosquattingu lub publikacji fałszywych bibliotek, coraz częściej celem stają się legalne pakiety z realną bazą użytkowników. Dzięki temu złośliwa aktualizacja może zostać pobrana automatycznie przez procesy buildowe, skrypty developerskie i obrazy kontenerowe, zanim ktokolwiek zauważy nieprawidłowości.

W przypadku Telnyx ryzyko było szczególnie wysokie, ponieważ biblioteka może funkcjonować w środowiskach zawierających cenne dane operacyjne, takie jak klucze integracyjne, sekrety CI/CD oraz poświadczenia wykorzystywane przez aplikacje komunikacyjne i backendowe.

Analiza techniczna

Według dostępnych analiz złośliwy kod został umieszczony w pliku telnyx/_client.py. To oznacza, iż uruchamiał się już na etapie importu biblioteki, co znacząco zwiększało skuteczność kampanii. Napastnicy nie potrzebowali dodatkowego etapu aktywacji — wystarczało, iż aplikacja lub skrypt używały biblioteki w normalnym toku pracy.

Łańcuch ataku był wieloetapowy i różnił się zależnie od platformy. Na systemach Windows malware pobierał plik hangup.wav, z którego wyodrębniany był adekwatny ładunek wykonywalny. Następnie zapisywano go w folderze autostartu pod nazwą msbuild.exe, co zapewniało trwałość i ponowne uruchomienie po restarcie systemu.

Na Linux i macOS obserwowano wariant nastawiony na szybkie pozyskanie danych. W tym scenariuszu pobierany był plik ringtone.wav, zawierający ukryty skrypt kolektora. Jego zadaniem było zebranie danych z hosta, spakowanie ich i przesłanie do infrastruktury kontrolowanej przez napastnika. Dodatkowo malware działał z katalogów tymczasowych i usuwał część artefaktów po zakończeniu aktywności.

Najbardziej charakterystycznym elementem tej kampanii było użycie steganografii audio. Ukrycie payloadu w danych WAV utrudnia analizę ruchu i może pozwolić ominąć narzędzia koncentrujące się na wykrywaniu klasycznych binariów, skryptów lub podejrzanych archiwów. To pokazuje, iż ataki supply chain są projektowane coraz staranniej, z uwzględnieniem mechanizmów obronnych stosowanych w nowoczesnych organizacjach.

Istotny pozostaje również prawdopodobny sposób przejęcia kanału publikacji. Jednym z najbardziej realistycznych scenariuszy jest kompromitacja tokenu publikacyjnego PyPI, uzyskanego w ramach wcześniejszych kampanii kradnących sekrety ze zmiennych środowiskowych, plików .env i historii poleceń powłoki. Taki model ataku dobrze wpisuje się w obserwowaną aktywność grup skoncentrowanych na przejmowaniu zaufanych zależności.

Konsekwencje / ryzyko

Skala ryzyka związanego z tym incydentem jest wysoka. Zaatakowany został legalny pakiet, który mógł znajdować się już w środowiskach produkcyjnych, developerskich i testowych. Dodatkowo wykonanie kodu następowało podczas importu, więc choćby krótkie użycie złośliwej wersji mogło wystarczyć do ujawnienia poufnych danych.

Najpoważniejsze konsekwencje obejmują wyciek kluczy API, sekretów chmurowych, poświadczeń CI/CD, konfiguracji aplikacji oraz informacji z lokalnych stacji roboczych deweloperów. W środowiskach firmowych taki wyciek może stanowić punkt wyjścia do dalszej eskalacji incydentu, w tym przejęcia repozytoriów, manipulacji procesem budowania, ruchu bocznego w sieci lub wdrożenia kolejnych etapów malware.

Wariant windowsowy zwiększał ryzyko długotrwałej obecności w systemie dzięki mechanizmowi autostartu. Z kolei warianty dla Linux i macOS były bardziej nastawione na szybkie zebranie danych i ograniczenie śladów. Taka segmentacja logiki świadczy o dojrzałości operacyjnej kampanii oraz o świadomym dostosowaniu technik do charakterystyki poszczególnych platform.

Rekomendacje

Organizacje powinny jak najszybciej ustalić, czy w ich środowiskach występowały wersje telnyx==4.87.1 lub telnyx==4.87.2. Należy uwzględnić nie tylko aktywne aplikacje, ale również obrazy kontenerowe, cache buildowe, środowiska wirtualne, lockfile i historyczne artefakty pipeline’ów. Każde potwierdzone użycie złośliwej wersji powinno być traktowane jako potencjalna kompromitacja.

• natychmiast usunąć złośliwe wersje i przejść na znaną czystą wersję pakietu,
• przeprowadzić rotację wszystkich sekretów dostępnych z poziomu zagrożonego hosta lub pipeline’u,
• sprawdzić logi sieciowe pod kątem nietypowych pobrań plików WAV i ruchu wychodzącego,
• zweryfikować foldery autostartu w systemach Windows, szczególnie pod kątem pliku msbuild.exe,
• przeanalizować katalogi tymczasowe oraz ślady procesów Python uruchamianych w czasie podejrzanych buildów,
• skontrolować bezpieczeństwo tokenów publikacyjnych i innych sekretów wydawniczych.

W dłuższej perspektywie warto wdrożyć dodatkowe zabezpieczenia procesu dostarczania oprogramowania. Obejmują one pinowanie wersji zależności, stosowanie zatwierdzonych lockfile, skanowanie pakietów przed wdrożeniem, segmentację środowisk buildowych oraz ograniczanie ekspozycji sekretów. Coraz większe znaczenie ma też monitorowanie anomalii w zależnościach, zwłaszcza nieoczekiwanych zmian wersji i modyfikacji plików wykonywanych przy imporcie biblioteki.

Podsumowanie

Incydent związany z pakietem Telnyx pokazuje, iż współczesne ataki supply chain stają się coraz bardziej wyrafinowane technicznie. Kompromitacja legalnego pakietu, uruchamianie złośliwego kodu przy imporcie oraz wykorzystanie steganografii audio do dostarczania payloadu to połączenie, które znacząco utrudnia wykrycie i zwiększa skuteczność operacji.

Dla zespołów bezpieczeństwa jest to kolejny sygnał, iż ochrona łańcucha dostaw nie może kończyć się na reputacji repozytorium i nazwie pakietu. Konieczne stają się kontrola integralności wydań, ścisła ochrona sekretów publikacyjnych, analiza zachowania zależności po imporcie oraz twarde zasady bezpieczeństwa dla pipeline’ów i środowisk developerskich.

Źródła

1. The Hacker News — https://thehackernews.com/2026/03/teampcp-pushes-malicious-telnyx.html
2. PyPI: telnyx project — https://pypi.org/project/telnyx/
3. Telnyx Python SDK documentation — https://developers.telnyx.com/development/sdk/python