【安全资讯】Telnyx官方PyPI软件包遭供应链攻击，恶意代码藏身WAV音频文件

概要：

在软件供应链安全日益受到关注的背景下，知名通信服务商Telnyx的官方Python开发工具包（SDK）在PyPI仓库中遭到恶意篡改。黑客组织TeamPCP通过上传植入后门的版本，向全球开发者分发了一种能够窃取敏感凭证的恶意软件，该软件巧妙地利用隐写术将恶意代码隐藏在WAV音频文件中，凸显了开源软件生态面临的严峻威胁。

主要内容：

安全公司Aikido、Socket和Endor Labs监测到，黑客组织TeamPCP于3月27日入侵了Telnyx在Python官方包索引（PyPI）上的项目账户，并上传了恶意版本4.87.1和4.87.2。研究人员根据相同的渗透模式和RSA密钥，将此次攻击归因于该组织。Telnyx SDK每月下载量超过74万次，被广泛用于集成VoIP、短信、物联网等通信服务，因此此次供应链攻击影响范围巨大。

攻击者疑似通过窃取PyPI发布账户的凭证入侵了项目。他们首先发布了包含恶意但无效载荷的4.87.1版本，约一小时后修正错误，发布了功能完整的4.87.2版本。恶意代码位于`telnyx/_client.py`文件中，会在导入时自动触发，同时允许合法的SDK功能正常运行，极具隐蔽性。

在Linux和macOS系统上，恶意载荷会启动一个独立进程，从远程C2服务器下载伪装成WAV音频文件（ringtone.wav）的第二阶段载荷。攻击者利用隐写术，在不改变音频内容的情况下，将恶意代码嵌入文件的数据帧中。随后通过简单的XOR解密例程在内存中提取并执行代码，窃取SSH密钥、云令牌、加密货币钱包和环境变量等敏感信息。如果发现Kubernetes环境，还会尝试枚举集群密钥并部署特权Pod。

在Windows系统上，恶意软件会下载另一个WAV文件（hangup.wav），从中提取名为msbuild.exe的可执行文件，并将其放入启动文件夹以实现持久化。安全研究人员强烈建议开发者立即回退至干净的4.87.0版本，并应将任何导入了恶意版本的系统视为已完全失陷，尽快轮换所有密钥和凭证。