Очередной этап кампании по атаке на цепочку поставок программного обеспечения (software supply chain) затронул популярный Python-пакет Telnyx. За инцидентом стоит группировка TeamPCP, ранее связанная с компрометацией инструментов Trivy, KICS и библиотеки litellm. На этот раз злоумышленники опубликовали на PyPI две вредоносные версии пакета — 4.87.1 и 4.87.2, содержащие скрытый модуль кражи учетных данных.
Компрометированные версии Telnyx на PyPI и текущий статус
Злонамеренные версии telnyx 4.87.1 и 4.87.2 были загружены в репозиторий PyPI 27 марта 2026 года. Их основная цель — кража конфиденциальных данных и учетных записей разработчиков и CI/CD-систем. Реализованный вредоносный функционал замаскирован внутри WAV‑файла, что существенно затрудняет обнаружение при традиционном анализе сетевого трафика и артефактов на диске.
Сообщество безопасности и разработчики предлагают немедленно откатиться на версию 4.87.0, которая считается последней известной безопасной сборкой. Проект Telnyx на PyPI переведен в состояние карантина, что должно ограничить дальнейшее распространение вредоносных релизов.
Технические детали: внедрение кода и кроссплатформенная атака
По данным компаний Aikido, Endor Labs, Ossprey Security, SafeDep, Socket и StepSecurity, злоумышленники внедрили вредоносный код в модуль «telnyx/_client.py». Это означает, что вредоносная логика активируется автоматически при импорте пакета в любое Python-приложение. Атака нацелена одновременно на Windows, Linux и macOS, что повышает ее эффективность в гетерогенных инфраструктурах.
Linux и macOS: трехэтапная цепочка с аудиостеганографией
Эксперты Socket описывают атаку на Linux/macOS как трехстадийную цепочку исполнения, включающую:
1) Доставку полезной нагрузки через аудиостеганографию (скрытие данных внутри WAV‑файла);
2) Запуск в памяти модуля сбора данных без сохранения бинарников на диск;
3) Шифрованную эксфильтрацию собранной информации на удаленный сервер.
Все операции выполняются во временном каталоге, который после завершения работы рекурсивно очищается. Это позволяет оставить «почти нулевой» объем судебно значимых артефактов и значительно усложняет форензику.
Windows: долговременная устойчивость через «msbuild.exe»
На системах Windows вредоносный код загружает с сервера управления и контроля (C2) WAV‑файл «hangup.wav». Из его аудиоданных извлекается исполняемый файл, который записывается в папку автозагрузки как «msbuild.exe». Таким образом злоумышленники получают стойкий механизм закрепления: программа будет запускаться при каждом входе пользователя в систему и переживать перезагрузки.
WAV‑файлы как носитель вредоносной нагрузки: аудиостеганография в действии
Для Linux и macOS загружается другой WAV‑файл — «ringtone.wav», из которого извлекается третий этап атаки: скрипт‑коллектор. Этот модуль собирает широкий спектр чувствительных данных (учетные данные, токены, конфигурации, переменные окружения) и упаковывает их в архив «tpcp.tar.gz». Далее архив отправляется через HTTP POST на адрес 83.142.209[.]203:8080.
Ossprey Security подчеркивает, что ключевая техника — это именно использование аудиостеганографии для доставки полезной нагрузки. Вместо того чтобы распространять «чистый» исполняемый файл или base64‑строку, которые легко обнаруживаются системами мониторинга трафика и EDR, злоумышленники инкапсулируют payload внутри легитимного на вид WAV‑файла. Это отражает общее усложнение техник уклонения от детектирования в современных supply chain атаках.
Как могли украсть PyPI-токен Telnyx и связь с litellm
Точный способ компрометации PYPI_TOKEN проекта Telnyx пока не установлен. Наиболее вероятная гипотеза, по оценке исследователей Endor Labs, — это вторичное использование ранее похищенных учетных данных в рамках другой фазы кампании TeamPCP.
В ходе атаки на библиотеку litellm злоумышленники внедрили сборщик, который выгружал переменные окружения, содержимое файлов .env и историю команд оболочки с каждого хоста, где пакет импортировался. Если разработчик или CI/CD‑конвейер имел одновременно установленный litellm и доступ к PyPI‑токену Telnyx, то этот токен с высокой вероятностью уже оказался у TeamPCP и был использован для публикации вредоносных версий.
Различные стратегии для Windows и *nix: «долгая игра» против «smash-and-grab»
Отдельного внимания заслуживает различие в тактике в зависимости от платформы. На Linux и macOS не реализован постоянный механизм закрепления — атака рассчитана на быструю кражу максимального объема данных с последующим полным удалением следов. На Windows, напротив, используется персистентность через автозагрузку, обеспечивающая длительный повторяемый доступ к системе.
Такой дифференцированный подход отражает стремление злоумышленников одновременно минимизировать следы на серверных и разработческих *nix‑средах и при этом получать длительный доступ к пользовательским и корпоративным рабочим станциям под Windows.
Эволюция supply chain атак: от typosquatting к компрометации доверенных пакетов
Инцидент с Telnyx стал продолжением недавнего распространения троянизированных версий litellm, предназначенных для кражи облачных учетных записей, секретов CI/CD и ключей доступа к доменам под контролем злоумышленников. В текущей кампании TeamPCP целенаправленно фокусируется на законных, широко используемых пакетах с большой пользовательской базой, а не на прямой публикации typosquat-пакетов.
Выбор жертв — Trivy (сканер контейнеров), KICS (инструмент анализа инфраструктуры) и litellm (маршрутизация AI‑моделей) — не случаен. Все эти решения по своей природе обладают широкими правами доступа к конфигурациям, учетным данным и переменным окружения в автоматизированных конвейерах. По данным открытых отраслевых отчетов, именно такие инструменты все чаще становятся целями атак на цепочку поставок.
Связь с вымогателями и риски для CI/CD-инфраструктуры
Кампания TeamPCP затрагивает несколько экосистем и, по сообщениям, сопровождается публичными заявлениями о «сотрудничестве» с группировкой LAPSUS$ и формирующейся ransomware-группировкой Vect. Это указывает на сближение традиционных вымогателей и операторов supply chain атак. Вместо классических фишинговых писем или эксплуатации уязвимостей во внешних сервисах все больше внимания уделяется компрометации открытой инфраструктуры и инструментов разработки.
Особенно уязвимы CI/CD‑конвейеры, где инструменты анализа безопасности, IDE‑расширения, build‑системы и окружения исполнения обладают заведомо повышенными правами. Если такой инструмент оказывается скомпрометирован, он становится удобной точкой входа для последующих этапов атаки, включая развертывание вымогательского ПО и шантаж.
Рекомендации по защите: что стоит сделать разработчикам и командам DevSecOps
Для снижения рисков подобного рода supply chain атак рекомендуется:
1. Немедленно проверить используемую версию Telnyx и при наличии 4.87.1/4.87.2 откатиться на 4.87.0, провести инвентаризацию систем и анализ логов.
2. Отозвать и ротационировать все PyPI‑токены и другие секреты, которые могли оказаться в окружениях с litellm или скомпрометированным Telnyx.
3. Внедрить жесткую политику фиксации версий зависимостей, использовать зеркала репозиториев и инструменты проверки целостности (hash/pinning, Sigstore и др.).
4. Мониторить сетевой трафик на обращения к известным IOC (включая IP 83.142.209[.]203:8080) и аномальные загрузки медиафайлов из CI/CD‑окружений.
5. Ограничить права доступа CI/CD‑систем и сканеров, реализовать принцип минимально необходимых привилегий и изоляцию секретов.
6. Регулярно проводить аудит зависимостей и инфраструктуры разработки, включая IDE‑плагины и сторонние сканеры.
Современные supply chain атаки, подобные компрометации Telnyx и litellm группировкой TeamPCP, демонстрируют, что инструменты разработки и безопасности сами становятся мишенями. Организациям стоит пересмотреть модель угроз для CI/CD, внедрить многоуровневые механизмы проверки доверия к пакетам и активно отслеживать публикации по кибербезопасности. Чем раньше выстроен контроль над цепочкой поставок ПО, тем меньше шансов, что скрытый вредоносный WAV‑файл окажется в вашем продакшене.
