Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
PyPI sotto attacco: telnyx compromesso ruba credenziali via steganografia WAV su Windows, Linux e macOS
Una nuova ondata di attacchi alla supply chain open source ha colpito PyPI con la compromissione del pacchetto Python telnyx. Sono state pubblicate due versioni malevole, telnyx 4.87.1 e telnyx 4.87.2, progettate per rubare dati sensibili e credenziali su Windows, Linux e macOS.
Chi ha installato o aggiornato in quella finestra temporale deve intervenire subito effettuando il downgrade a telnyx 4.87.0 e trattando l’ambiente come potenzialmente compromesso.
Il codice malevolo risulta inserito nel file telnyx/_client.py e viene eseguito al semplice import del pacchetto in un progetto Python. Questo dettaglio rende il rischio elevato anche in contesti CI/CD dove le dipendenze vengono installate automaticamente e importate durante test, build o deploy. La catena di infezione usa una tecnica poco comune ma efficace: la steganografia audio. Invece di scaricare un payload evidente, il malware recupera file WAV da un server di comando e controllo e ne estrae il contenuto nascosto per eseguire gli stadi successivi.
Comportamento su Windows
Su Windows viene scaricato hangup.wav e dal contenuto viene ricavato un eseguibile che viene copiato nella cartella di avvio automatico con il nome msbuild.exe, ottenendo persistenza dopo il riavvio.
Comportamento su Linux e macOS
Su Linux e macOS viene scaricato un WAV diverso, ringtone.wav, che porta a uno script di raccolta dati eseguito in memoria e in una directory temporanea con comportamento auto-cancellante per ridurre le tracce forensi. I dati raccolti vengono compressi in un archivio tpcp.tar.gz ed esfiltrati tramite richiesta HTTP POST verso un endpoint remoto.
Impatto e mitigazioni
L’attacco evidenzia un cambio di passo: invece di puntare su pacchetti falsi, vengono compromesse librerie legittime e popolari, aumentando il raggio d’impatto sui progetti downstream.
- Verifica dipendenze: cercare telnyx 4.87.1 o 4.87.2 in requirements.txt e negli ambienti Python, rimuoverle e installare una versione pulita (4.87.0).
- Rotazione segreti: ruotare tutte le chiavi e i segreti potenzialmente esposti (token, API key, credenziali, variabili d’ambiente).
- Controlli su Windows: verificare la presenza di msbuild.exe nella cartella di Startup e rimuoverlo se presente.
- Difese di rete: bloccare gli indicatori di rete associati al server di esfiltrazione e monitorare eventuali richieste HTTP POST anomale.