人気のあるTelnyx Python SDKはPyPI上で、クラウドインフラストラクチャ、Kubernetesクラスタ、開発者環境を対象とした多段階の認証情報盗難操作を展開するために使用されました。
2026年3月27日、TeamPCPは2つの悪意のあるTelnyx SDKリリース、バージョン4.87.1と4.87.2を、UTC 03:51頃に直接PyPIにアップロードし、公式メンテナーによって使用される通常のGitHubベースのリリースフローをバイパスしました。
正規のTelnyxリポジトリは依然として4.87.0を最新のタグ付きバージョンとして表示しており、PyPI公開トークンが乗っ取られ、標準的なCI/CDパイプラインの外で悪用されたことを示す明確な警告信号です。
両方の悪意のあるバージョンは、PyPIが介入して隔離するまで約4時間利用可能な状態が続きました。その間にこれらのリリースをインストールした場合は、セキュリティ侵害の可能性が高いと見なされるべきです。
脅威アクターTeamPCPに起因するこのインシデントは、2週間以内にTrivy、Checkmarx、LiteLLM、および数十のnpmパッケージに既に影響を与えている、急速で複数のエコシステムにまたがるサプライチェーンキャンペーンの一部です。
Telnyxパッケージは広く採用されており、月間数十万から100万以上のダウンロード数があるため、被害範囲は直接ユーザーだけでなく、SDKをピンするか再配布するあらゆるダウンストリームプロジェクトを含みます。
ライブラリは通常、APIキーとリアルタイム通信ワークフローを処理するバックエンドサービスに展開されるため、高価値のシークレットが豊富な環境で実行されることがよくあります。
Telnyx Python SDK
TeamPCPの改ざんは小規模だが巧妙です。単一の内部ファイル_client.pyが改変されましたが、ホイールの残りは4.87.0とバイト単位で完全に同じままであり、攻撃者がTelnyxの独自ビルドツールと有効なPyPIトークンを使用したため、すべてのRECORDハッシュはクリーンに検証されます。
これは、pip install --require-hashesやロックファイルベースのワークフローなどの一般的な整合性制御は、公開されたアーティファクトの改ざんから保護するが、正当に構築されたリリース内の悪意のあるコンテンツからは保護しないため、パッケージにフラグを立てなかったことを意味します。
悪意のあるコードはインポート時に即座に実行されます。import telnyxを実行するだけでバックドアがトリガーされ、追加の構成または関数呼び出しは必要ありません。
Windowsでは、setup()ルーチンが攻撃者のコマンド&コントロール(C2)サーバーからWAVファイルをダウンロードし、ステガノグラフィで隠されたPEペイロードを抽出し、ログオン間での永続性を得るためにユーザーのスタートアップフォルダにmsbuild.exeとして保存します。
LinuxとmacOSでは、別のFetchAudio()パスが分離されたPythonローダーを生成し、別のWAV組み込みペイロードをフェッチし、メモリ内で完全な認証情報ハーベスタを実行し、ハイブリッドAES-256およびRSA-4096を使用して収集されたデータを暗号化し、同じC2に抜き取ります。
完全にステージングされると、Telnyx マルウェアはホストを積極的にスイープして、AWS、GCP、およびAzure認証情報、SSHキー、Dockerおよびレジストリトークンデータベース接続ファイル、TLSキー、およびアプリケーションディレクトリ全体の一般的な.envファイルを含む、クラウドプロバイダー、インフラストラクチャ、およびアプリケーション間のシークレットを探します。
Linuxハーベスタはコンテナ化およびCI/CDワークロードで特に危険であり、Kubernetesサービスアカウントトークンを発見し、APIを通じてすべての名前空間全体にシークレットをダンプし、すべてのノードに特権ポッドをデプロイしてsystemdサービスとして永続的なPythonバックドアをドロップできます。
抜き取られたデータはtpcp.tar.gzアーカイブにバンドルされ、HTTPを介して通常83.142.209.203:8080である攻撃者のインフラストラクチャに送信され、複数のTeamPCP操作全体で強力な検出シグネチャとして機能する独特のX-Filename: tpcp.tar.gzヘッダーが付きます。
進行中のTeamPCPキャンペーン
セキュリティ研究者は、Telnyx SDKの侵害をPyPI、npm、Docker Hub、およびGitHub Actionsにまたがるより広範で高速に進行するTeamPCPサプライチェーンキャンペーンに関連付けました。
PEはエンドポイント検出を無効化することから始まります。ディスクからntdll.dllのクリーンなコピーを読み込み、メモリにマップし、既に読み込まれているntdllの.textセクションをクリーンなバージョンで上書きします。
以前のウェーブはCI/CD認証情報とレジストリトークンを悪用して、類似のローダーパターン、ステガノグラフィのトリック、および同じtpcp抜き取りマーカーを使用してTrivy、Checkmarxコンポーネント、LiteLLM、および40以上のnpmパッケージのトロイ化されたリリースをプッシュしました。
グループのツールには、WAVおよびPNGベースのペイロード隠蔽、Windowsでのnydll unhooking、Kubernetes対応のラテラルムーブメント、およびモジュールRATコンポーネントなどの高度な技術が含まれており、一度限りのインプラントではなく、成熟し進化した攻撃プラットフォームを示しています。
ハッシュアルゴリズムはdjb2(シード0x1505、乗数33、大文字と小文字を区別)です。0x140007BC0の関数は、読み込まれたDLLのエクスポートテーブルを走査し、各エクスポート名をハッシュ化し、ターゲットハッシュのリストと比較します。
最近の報告は、TeamPCP、Vect、およびBreachForumsの間のパートナーシップも強調しており、大規模な認証情報盗難を確立された地下マーケットプレイスとランサムウェア提携オペレーターと組み合わせています。
このアラインメントは、Telnyxおよび関連するサプライチェーン侵害を通じて盗まれた認証情報が、企業およびクラウド環境に対する将来の恐喝、データ盗難、またはランサムウェアインシデントにリサイクルされるリスクを大幅に増加させます。
Telnyxバージョン4.87.1または4.87.2をインストールした環境は、セキュリティ侵害を想定し、インシデント対応を開始し、SSHキー、Kubernetesトークン、レジストリ、データベースを含む、到達可能なすべてのシステム間で完全な認証情報のローテーションを実行する必要があります。
攻撃が元のライブラリの削除を生き残るWindowsおよびKubernetesノードの両方に永続コンポーネントをドロップするため、単にパッケージをアンインストールするだけでは十分ではありません。
ディフェンダーは83.142.209.203:8080およびcheckmarx.zoneなどの既知のC2インフラストラクチャをすぐにブロックし、X-Filename: tpcp.tar.gzを使用するHTTP POSTトラフィックを探し、スタートアップフォルダのmsbuild.exeまたはLinuxホストのsysmon.pyスタイルのバックドアなどのファイルシステムアーティファクトをスキャンする必要があります。
長期的には、組織は発行アカウント上でマルチファクター認証とスコープトークンを強制し、PyPIでOIDCベースの「信頼できた発行者」フローを採用し、ロックファイルで依存関係をピンして、長期のシークレットを公開しない一時的な環境でインストールを実行することにより、ソフトウェアサプライチェーンを強化する必要があります。
翻訳元: https://gbhackers.com/telnyx-python-sdk/
