Vývojári VoIP platformy Telnyx varovali používateľov pred kompromitáciou balíka telnyx na PyPI, repozitári so 756 000 mesačnými stiahnutiami, ktorý poskytuje SDK pre prístup k Telnyx API z programov v jazyku Python. 27. marca sa útočníkom podarilo publikovať dve škodlivé verzie telnyx, 4.87.1 a 4.87.2, po tom, čo získali prístup k PyPI po odcudzení prihlasovacích údajov správcu. Škodlivé verzie boli distribuované medzi 6:51 a 13:13 (moskovského času), po čom ich zablokovali správcovia PyPI. Infraštruktúra, API, hlasové služby a platforma Telnyx zostali neovplyvnené.
K kompromitácii došlo ako súčasť rozsiahlejšieho útoku na dodávateľský reťazec zo strany TeamPCP, ktorý nedávno kompromitoval balíky LiteLLM a Trivy v jazyku Python, integroval škodlivý kód do doplnku OpenVSX Checkmarx a vstrekol škodlivého červa do 68 balíkov v repozitári NPM. Kľúč RSA použitý na šifrovanie prenášaných údajov sa zhodoval s kľúčmi použitými pri iných útokoch TeamPCP.
Verzie vytvorené útočníkmi obsahovali škodlivý kód, ktorý bol integrovaný do súboru „_client.py“ a aktivovaný pri importe modulu. Po aktivácii... serverov Útočníci si stiahli zvukový súbor ringtone.wav pre unixové systémy a hangup.wav pre Windows. Tieto súbory sa úspešne prehrali ako zvukové súbory, ale obsahovali skryté škodlivé obslužné programy vložené pomocou steganografie.
V systéme Windows bol škodlivý obslužný program uložený do systému ako „%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msbuild.exe“ a spúšťaný pri každom prihlásení. V systémoch macOS a Linux vyhľadával a odosielal kľúče SSH, prihlasovacie údaje, obsah premenných prostredia, tokeny prístupu k API, parametre pripojenia ku cloudovým službám AWS, GCP, Azure a K8s, kľúče kryptopeňaženiek, heslá DBMS a ďalšie. Zistené údaje boli šifrované pomocou AES-256-CBC a RSA-4096 a odosielané prostredníctvom požiadavky HTTP POST na externý hostiteľ.
Zdroj: opennet.ru
