29.03.2026 10:29
Атака на PyPI-пакет Telnyx: кража SSH-ключей и токенов
Атака на PyPI-пакет Telnyx
Злоумышленники скомпрометировали учётную запись сопровождающего популярного PyPI-пакета telnyx (756 тысяч загрузок в месяц) и выпустили версии 4.87.1 и 4.87.2. Вредоносные выпуски были доступны около шести часов, после чего их заблокировала администрация PyPI.
В пакет внедрили код, который при импорте загружал звуковые файлы ringtone.wav (Unix) и hangup.wav (Windows). Файлы воспроизводились как обычные звуки, но содержали скрытые вредоносные обработчики (стеганография). На Windows обработчик сохранялся в автозагрузку как msbuild.exe. На Linux и macOS воровал SSH-ключи, токены AWS/GCP/Azure, данные от криптокошельков и пароли к БД. Украденное шифровалось (AES-256-CBC + RSA-4096) и отправлялось на внешний сервер.
Эта атака стала частью более масштабной кампании TeamPCP, в рамках которой ранее скомпрометировали LiteLLM, Trivy, дополнение Checkmarx в OpenVSX и 68 пакетов в NPM.
🐧Обсудить в Чате Linux
Злоумышленники скомпрометировали учётную запись сопровождающего популярного PyPI-пакета telnyx (756 тысяч загрузок в месяц) и выпустили версии 4.87.1 и 4.87.2. Вредоносные выпуски были доступны около шести часов, после чего их заблокировала администрация PyPI.
В пакет внедрили код, который при импорте загружал звуковые файлы ringtone.wav (Unix) и hangup.wav (Windows). Файлы воспроизводились как обычные звуки, но содержали скрытые вредоносные обработчики (стеганография). На Windows обработчик сохранялся в автозагрузку как msbuild.exe. На Linux и macOS воровал SSH-ключи, токены AWS/GCP/Azure, данные от криптокошельков и пароли к БД. Украденное шифровалось (AES-256-CBC + RSA-4096) и отправлялось на внешний сервер.
Эта атака стала частью более масштабной кампании TeamPCP, в рамках которой ранее скомпрометировали LiteLLM, Trivy, дополнение Checkmarx в OpenVSX и 68 пакетов в NPM.
🐧Обсудить в Чате Linux