O pacote oficial da Telnyx no repositório de desenvolvimento Python Package Index foi comprometido pelo grupo de piratas informáticos TeamPCP, que carregaram versões maliciosas para distribuir software de roubo de credenciais escondido em ficheiros de áudio. A descoberta foi revelada por investigadores de segurança da Aikido, juntamente com a Socket e a Endor Labs, que atribuíram o incidente a este ator com base em padrões de exfiltração de dados e chaves de encriptação idênticas às detetadas em ataques anteriores.
Como funciona a ameaça através de ficheiros de som
O grupo responsável publicou as versões alteradas 4.87.1 e 4.87.2 do pacote Telnyx. Nas plataformas Linux e macOS, a versão modificada instala uma ameaça capaz de roubar chaves SSH, credenciais, tokens de serviços na nuvem, carteiras de criptomoedas e outras variáveis de ambiente sensíveis. O código infetado ativa-se automaticamente durante a importação do ficheiro principal do cliente, permitindo simultaneamente que as funções legítimas da ferramenta continuem a operar de forma a não levantar suspeitas junto dos programadores.
A técnica utilizada recorre a esteganografia para ocultar o código dentro de um ficheiro de áudio WAV descarregado a partir de um servidor remoto sob o controlo dos atacantes. O malware é extraído do áudio através de uma rotina de desencriptação simples e executado diretamente na memória para recolher as informações do sistema atingido. Caso a máquina possua ambientes de contentores a correr, a ameaça tenta aceder diretamente aos sistemas anfitriões.
Impacto nos sistemas e recomendação de mitigação
No caso de sistemas Windows, o ataque descarrega um ficheiro sonoro distinto que extrai um executável específico. Este ficheiro é colocado na pasta de arranque do sistema operativo para garantir a persistência após a reinicialização da máquina, limitando no entanto a sua execução repetida num período de doze horas para evitar a deteção excessiva de processos.
O pacote de desenvolvimento da Telnyx é amplamente utilizado, contando com mais de 740 mil transferências mensais, sendo a solução oficial para integrar serviços de comunicação em aplicações. Os peritos de segurança acreditam que o acesso indevido foi obtido através de credenciais roubadas pertencentes à conta de publicação oficial. Qualquer sistema que tenha descarregado as versões específicas afetadas deve ser considerado como totalmente comprometido, sendo recomendado reverter de imediato para a versão limpa 4.87.0 e proceder à rotação de todas as palavras-passe e chaves de acesso utilizadas no ambiente de desenvolvimento.
Nenhum comentário
Seja o primeiro!