TeamPCP снова в деле: вредоносная подделка пакета Telnyx в PyPI
Группа TeamPCP продолжает свою серию атак на цепочки поставок, и пакет telnyx в PyPI стал их последней вредоносной модификацией.
Что произошло?
Telnyx — это широко используемый набор инструментов (SDK) для сервиса голосовых агентов с искусственным интеллектом Telnyx.
Как сообщают исследователи из Endor Labs, злоумышленники внедрили бэкдор в легитимный код SDK и опубликовали версии 4.87.1 и 4.87.2 этого пакета в индексе Python-пакетов (PyPI), одну за другой.
Вредоносный код в первой версии не сработал из-за опечатки, поэтому пришлось выпустить вторую версию.
Вредоносные выпуски были опубликованы 27 марта 2026 года, между 03:51 UTC и 04:07 UTC, «без соответствующих релизов или тегов на GitHub, что указывает на компрометацию учетных данных для публикации в PyPI», — пояснил Киран Радж из Endor Labs.
«Мы считаем, что наиболее вероятным вектором атаки стала сама компрометация litellm», — добавил он.
«Сборщик данных TeamPCP выгружал переменные окружения, файлы .env и историю командной оболочки с каждой системы, которая импортировала litellm. Если у какого-либо разработчика или CI-конвейера был установлен litellm и доступ к токену PyPI для telnyx, этот токен уже оказался в руках TeamPCP. Трехдневный промежуток соответствует времени, необходимому для просеивания украденных учетных данных и выбора следующей цели.»
Проект telnyx в PyPI впоследствии был изолирован.
Новый механизм доставки вредоносного ПО
Между компрометацией LiteLLM и Telnyx группа внесла некоторые изменения.
Во-первых, вредоносный пакет доставлял закодированную вредоносную нагрузку в данных аудиофреймов валидного WAV-файла.
Во-вторых, вредоносные пакеты были меньше, чем в предыдущих атаках, поскольку реальная нагрузка загружалась во время выполнения с командного сервера (который представляет собой «сырой» IP-адрес вместо поддельного домена, такого как models.litellm.cloud в атаке на LiteLLM).
При импорте вредоносного пакета telnyx он немедленно выполняется, извлекает и размещает на системе постоянный исполняемый файл в Windows или похититель информации в Linux/macOS.
Последний предназначен для хищения широкого спектра конфиденциальных данных: SSH-ключей и конфигураций; учетных данных облачных сервисов; данных аутентификации из инструментов разработчика, таких как Docker, npm, Git и Vault; учетных данных баз данных; файлов конфигурации окружения (для извлечения встроенных секретов, таких как API-ключи и токены); истории командной оболочки и баз данных; а также данных криптовалютных кошельков.
«Если в системе существует токен учётной записи Kubernetes, вредоносное ПО атакует весь кластер целиком», — отметили исследователи из Endor Labs.
«Оно развёртывает привилегированный под на каждый узел в пространстве имён kube-system. Каждый из этих подов монтирует корневую файловую систему хоста в каталог /host с параметрами hostPID, hostNetwork и privileged: True. Затем поды выполняют chroot на хост, чтобы установить механизм постоянного присутствия непосредственно на узле.»
В завершение, похищенные конфиденциальные данные шифруются и передаются злоумышленникам.
Признаки активности TeamPCP
Анализ инцидента выявил неоспоримые связи с группой TeamPCP, которая за последнюю неделю скомпрометировала расширения для IDE от Trivy, LiteLLM и CheckMarx, а также GitHub Actions.
В Endor Labs заявляют, что атрибуция основана на нескольких совпадающих индикаторах: использовании RSA-4096 открытого ключа, ранее наблюдавшегося при компрометации пакета LiteLLM в PyPI, применении той же схемы шифрования AES-256-CBC + RSA OAEP для передачи данных, а также наличии специфичных архивных файлов и заголовков во время эксфильтрации, которые являются характерной подписью TeamPCP.
Исследователи поделились индикаторами компрометации и дали рекомендации по проверке систем и журналов на их наличие. «Рассматривайте любое совпадение как полную компрометацию окружения — обновите все учётные данные», — посоветовали они.
Отчёты исследователей из SafeDep и Aikido также являются хорошим источником рекомендаций.
Подпишитесь на нашу экстренную e-mail рассылку, чтобы никогда не пропускать последние новости о утечках данных, уязвимостях и киберугрозах. Подписаться можно здесь!