概要
Telnyx Python SDKの最新バージョン4.87.1と4.87.2が、Windows、macOS、Linuxで認証情報を盗むマルウェアに感染していることが判明しました。これらのバックドアは、PyPIから削除されるまで約6.5時間存在していました。
攻撃の詳細
3月27日、攻撃者はTelnyx SDKの2つの悪意のあるバージョンを直接PyPIに公開しました。これらのバージョンは公式GitHubリポジトリで一致するコミットが存在せず、TeamPCPという脅威アクターによるものと推定されています。
マルウェアの構造
Telnyxのpayloadは、_client.pyファイルに分散して配置されており、通常のSDKクラス定義の後にWindows専用の実行パスが追加されます。このマルウェアは、インポート時に自動的に実行され、攻撃者のサーバーからWAV音声ファイルをダウンロードし、その中から認証情報を抽出します。
マルウェアの動作
Windows:
- hangup.wavという名前のWAVファイルをダウンロードして、PE実行可能ファイルをエクストラクトし、msbuild.exeとして%APPDATA%\