PyPI仓库再遭重击。TeamPCP这个威胁组织,之前搞定Trivy、KICS和litellm,这次推了两个恶意版telnyx:4.87.1和4.87.2。直接上架PyPI,日期是2026年3月27日。开发者导入包,恶意代码就从telnyx/_client.py启动。藏得巧妙,全在WAV音频文件里。
先看Windows。恶意代码从C2服务器拉“hangup.wav”,从中抠出可执行文件。直接丢进启动文件夹,改名msbuild.exe。重启系统,它自动跑。持久化稳了。
Linux和macOS不同。拉“ringtone.wav”,提取第三阶段收集脚本。跑完就自毁。临时目录全删,痕迹几乎零。Socket分析说,三阶段链条:音频隐写传输、内存执行窃取、加密外传。全链在临时目录,自毁无痕。
窃取什么?凭证大扫荡。环境变量、.env文件、shell历史全抓。打包成tpcp.tar.gz,POST到83.142.209[.]203:8080。Ossprey Security点出亮点:音频隐写。C2不放裸exe或base64,避免网检和EDR。WAV裹payload,聪明。
怎么拿的PyPI_TOKEN?Endor Labs猜是litellm那次。litellm被污染后,TeamPCP扫开发者环境和CI管道。谁装litellm又有telnyx token,全落他们手里。
策略分明。Windows求持久,Linux/macOS速战速决。Socket说,Windows放启动文件夹,长效访问;Unix系抢完就跑。高价值数据即时外传。
这帮人升级了。不再纯typosquat,直接污染热门包。Trivy扫描容器、KICS查基础设施、litellm路由AI模型。全需高权限读凭证、配置。Snyk观察,目标直指CI/CD管道工具。用户基数大,波及广。
加密圈子得警醒。Python开发到处是,像web3.py、ccxt这些库,DeFi项目、钱包工具天天用PyPI。litellm污染已牵出云凭证、CI秘密,这次telnyx再来,通信SDK也中招。想想,AI代理链上项目用litellm路由模型,凭证一漏,资金池子就空。BTC现报$65,951(24h -4.38%),市场跌4.38%,ETH$1,985(24h -3.91%),开发者正头疼行情,这种供应链炸弹更添乱。
TeamPCP不孤军。联手LAPSUS$和Vect勒索团。ransomware转向开源供应链,当入口。Socket警告,CI/CD里扫描器、IDE插件、构建工具,全是高危点。本该宽权限,现在全成靶子。
防护别拖。查requirements.txt,删4.87.1和4.87.2,降到4.87.0。PyPI已隔离telnyx。假设中招,轮换所有密钥。Windows搜启动文件夹msbuild.exe。封C2:83.142.209[.]203。
Aikido、Endor Labs、Ossprey、SafeDep、Socket、StepSecurity全报了。用户快动。开源生态本就信任链,现在链条一断,开发全乱套。TeamPCP这波,暴露Python包管家底细。加密开发者,CI管道锁死,别等ransom条来敲门。行情再跌,安全松懈就是自掘坟墓。