Ataque à cadeia de suprimentos compromete pacote “telnyx” no PyPI

Um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP, comprometeu o pacote “telnyx” no PyPI, que registrou 742 mil downloads no último mês. O código malicioso é executado automaticamente no momento da importação da biblioteca.

Em ambientes Windows, o malware realiza o download de um arquivo .wav, do qual extrai um executável oculto que é instalado como msbuild.exe na pasta de inicialização, garantindo persistência no sistema. Já em Linux e macOS, o código baixa um arquivo .wav semelhante, extrai um script malicioso, executa a carga útil e exfiltra dados criptografados com AES-256, utilizando uma chave protegida por RSA, o que dificulta a detecção e a análise.

As versões comprometidas do pacote são a 4.87.1 e 4.87.2. A recomendação é removê-las imediatamente e utilizar a versão segura 4.87.0, ou atualizar para a versão 4.88.1 ou superior (lista de versões). Qualquer ambiente que tenha executado essas versões deve ser considerado comprometido, sendo necessária a rotação de todas as credenciais sensíveis. Em sistemas Windows, também é recomendada a verificação da presença do arquivo msbuild.exe na pasta de inicialização.