Balíček Telnyx PyPI byl kompromitován

Vývojáři VoIP platformy Telnyx varovali uživatele před kompromitací balíčku telnyx na PyPI, repozitáři se 756 000 měsíčními staženími, který poskytuje SDK pro přístup k API Telnyx z programů v Pythonu. 27. března se útočníkům podařilo publikovat dvě škodlivé verze balíčku telnyx, 4.87.1 a 4.87.2, poté, co získali přístup k PyPI po odcizení přihlašovacích údajů správce. Škodlivé verze byly distribuovány mezi 6:51 a 13:13 (moskevského času), poté byly zablokovány správci PyPI. Infrastruktura, API, hlasové služby ani platforma Telnyx nebyly ovlivněny.

K narušení bezpečnosti došlo v rámci rozsáhlejšího útoku na dodavatelský řetězec ze strany TeamPCP, který nedávno napadl balíčky LiteLLM a Trivy v jazyce Python, integroval škodlivý kód do doplňku OpenVSX Checkmarx a vpravil škodlivého červa do 68 balíčků v repozitáři NPM. Klíč RSA použitý k šifrování přenášených dat se shodoval s klíči použitými v jiných útocích TeamPCP.

Verze vytvořené útočníky obsahovaly škodlivý kód, který byl integrován do souboru „_client.py“ a aktivován při importu modulu. Po aktivaci... servery Útočníci si stáhli zvukový soubor ringtone.wav pro unixové systémy a hangup.wav pro WindowsTyto soubory se úspěšně přehrály jako zvukové soubory, ale obsahovaly skryté škodlivé obslužné programy vložené pomocí steganografie.

Na plošině Windows Škodlivý obslužný program byl do systému uložen jako „%APPDATA%\Microsoft\“.Windows\Nabídka Start\Programy\Po spuštění\msbuild.exe" a spouštěl se při každém přihlášení. macOS и Linux Byly vyhledány a odeslány SSH klíče, přihlašovací údaje, obsah proměnných prostředí, tokeny pro přístup k API, parametry připojení ke cloudovým službám AWS, GCP, Azure a K8s, klíče kryptopeněženek, hesla DBMS a další informace. Nalezená data byla zašifrována pomocí algoritmů AES-256-CBC + RSA-4096 a odeslána prostřednictvím HTTP POST požadavku na externí hostitel.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster