Un nuevo ataque a la cadena de suministro de software ha afectado al popular paquete Python Telnyx, ampliamente utilizado para integrar servicios de comunicaciones en aplicaciones. El incidente, atribuido al grupo TeamPCP, vuelve a poner en el centro del debate la seguridad de los ecosistemas de paquetes como PyPI y el riesgo que suponen para entornos de desarrollo y pipelines de CI/CD.
Paquetes Telnyx comprometidos en PyPI y alcance del incidente
Las versiones telnyx 4.87.1 y 4.87.2 fueron subidas a PyPI el 27 de marzo de 2026 e incluían código malicioso orientado a la robo de credenciales y secretos presentes en máquinas de desarrolladores y sistemas de integración continua. Estas versiones ya han sido puestas en cuarentena en PyPI, y la comunidad aconseja volver inmediatamente a la versión 4.87.0, considerada la última compilación conocida como segura.
La particularidad de esta campaña es el uso de archivos WAV como portadores de la carga maliciosa, una técnica de audiosteganografía que dificulta la detección por soluciones de monitorización de red y herramientas EDR tradicionales, acostumbradas a identificar ejecutables o cadenas codificadas de forma más evidente.
Detalles técnicos del malware en Telnyx
Inyección en el cliente Python y ejecución transparente
Investigadores de Aikido, Endor Labs, Ossprey Security, SafeDep, Socket y StepSecurity han identificado que el código malicioso se inyectó en el archivo «telnyx/_client.py». Esto implica que la lógica maliciosa se ejecuta automáticamente al importar el paquete en cualquier aplicación Python, sin requerir acciones explícitas adicionales por parte del desarrollador. La campaña está diseñada para operar de forma multiplataforma, afectando a sistemas Windows, Linux y macOS.
Linux y macOS: audiosteganografía y exfiltración sigilosa
En entornos Linux y macOS, la cadena de infección sigue tres etapas bien definidas: descarga de un archivo de audio «ringtone.wav» que contiene la carga oculta, ejecución en memoria de un módulo recolector sin dejar binarios persistentes en disco y exfiltración cifrada de los datos recolectados hacia un servidor remoto. Toda la actividad se realiza en un directorio temporal que es eliminado de forma recursiva al finalizar, reduciendo al mínimo los artefactos forenses.
El script extraído de ringtone.wav recopila un conjunto amplio de información sensible —credenciales, tokens, archivos de configuración y variables de entorno—, la comprime en «tpcp.tar.gz» y la envía mediante HTTP POST al endpoint 83.142.209[.]203:8080. Este uso de audiosteganografía refleja una evolución clara de las técnicas de evasión en supply chain attacks, orientadas a camuflar las cargas útiles dentro de formatos aparentemente inofensivos.
Windows: persistencia mediante msbuild.exe y carga desde WAV
En Windows, la estrategia se centra en la persistencia a largo plazo. El malware descarga desde la infraestructura de mando y control (C2) un archivo «hangup.wav», del que se extrae un ejecutable que se escribe en la carpeta de inicio automático con el nombre «msbuild.exe». De este modo, el atacante obtiene un mecanismo de persistencia que garantiza la ejecución del malware en cada inicio de sesión y tras reinicios del sistema, a diferencia del enfoque más rápido y orientado a la exfiltración puntual observado en sistemas *nix.
Compromiso del token de PyPI y vínculo con litellm
El vector exacto mediante el cual se comprometió el PYPI_TOKEN del proyecto Telnyx no se ha confirmado, pero los analistas de Endor Labs consideran probable el reaprovechamiento de credenciales robadas en fases anteriores de la campaña de TeamPCP. En la reciente intrusión a la biblioteca litellm, el grupo desplegó recolectores de datos capaces de extraer variables de entorno, contenidos de ficheros .env e historial de comandos de cada host donde se importaba el paquete.
Si un desarrollador o pipeline de CI/CD utilizaba simultáneamente litellm y disponía de acceso a un token de publicación en PyPI para Telnyx, ese secreto pudo haber sido capturado y utilizado posteriormente para subir las versiones trojanizadas. Este patrón subraya la importancia de no reutilizar credenciales y de proteger estrictamente los secretos de publicación de paquetes.
Evolución de los ataques a la cadena de suministro de software
La campaña de TeamPCP no se limita a Telnyx. Incidentes recientes con Trivy, KICS y litellm muestran una tendencia clara: en lugar de depender sólo de typosquatting, los atacantes buscan comprometer proyectos legítimos y muy extendidos, con acceso privilegiado a configuraciones, credenciales y entornos automatizados.
Además, la supuesta conexión con grupos como LAPSUS$ y la emergente banda de ransomware Vect ilustra el acercamiento entre operadores de ransomware y actores de supply chain. Los pipelines de CI/CD, las herramientas de análisis de seguridad y los entornos de compilación se han convertido en objetivos de alto valor: una única dependencia comprometida puede abrir la puerta a ataques posteriores, incluyendo despliegue de ransomware y extorsión a gran escala.
Recomendaciones de ciberseguridad para desarrolladores y DevSecOps
1. Verificar inmediatamente la versión de Telnyx en todos los entornos. Si se detectan las versiones 4.87.1 o 4.87.2, es fundamental retroceder a la 4.87.0, revisar logs, inventariar sistemas afectados y buscar indicios de exfiltración.
2. Revocar y rotar todos los tokens de PyPI y otros secretos que hayan podido coexistir en entornos donde se usaron Telnyx comprometido o litellm, especialmente en servidores de CI/CD y estaciones de trabajo de desarrollo.
3. Implementar una política estricta de fijación de versiones (version pinning), uso de hashes, firmas digitales (por ejemplo, Sigstore) y, cuando sea posible, repositorios espejo internos para reducir la exposición directa a los registros públicos.
4. Monitorizar el tráfico de red en busca de indicadores de compromiso (IoC), incluyendo el IP 83.142.209[.]203:8080, y vigilar descargas anómalas de archivos multimedia desde entornos de construcción y orquestación.
5. Aplicar el principio de mínimo privilegio en CI/CD y herramientas de análisis: segmentar secretos, limitar accesos, utilizar bóvedas de credenciales y reforzar la autenticación para operaciones de publicación de paquetes y despliegue.
6. Realizar auditorías periódicas de dependencias y de la infraestructura de desarrollo, incluyendo plugins de IDE, escáneres de seguridad de terceros y scripts internos que tengan acceso a credenciales o sistemas críticos.
Los ataques recientes contra Telnyx, litellm y otras herramientas demuestran que las propias soluciones de desarrollo y seguridad se han convertido en vector de ataque. Reforzar la seguridad de la cadena de suministro de software, validar la procedencia de los paquetes e integrar controles continuos en CI/CD ya no es opcional. La capacidad de detectar a tiempo una dependencia maliciosa —aunque venga camuflada en un aparente archivo de audio inofensivo— puede marcar la diferencia entre un incidente contenido y una brecha masiva con impacto en toda la organización.
