Malware Telnyx Berbahaya di PyPI: Stealer Tersembunyi dalam File WAV
Kelompok ancaman TeamPCP kembali menyerang ekosistem Python dengan mempublikasikan dua versi berbahaya dari paket Telnyx di repositori PyPI pada tanggal 27 Maret 2026. Versi 4.87.1 dan 4.87.2 ini menyembunyikan fungsi pencurian kredensial dalam file audio berformat WAV, memanfaatkan teknik audio steganography untuk menyembunyikan malware dan mengekstrak data sensitif dari sistem korban.
Modus Operandi Malware Telnyx di PyPI
Menurut laporan dari berbagai perusahaan keamanan seperti Aikido, Endor Labs, Ossprey Security, SafeDep, Socket, dan StepSecurity, kode berbahaya disisipkan ke dalam file telnyx/_client.py. Kode ini aktif ketika paket Telnyx diimpor ke dalam aplikasi Python, dan dapat menyerang sistem operasi Windows, Linux, dan macOS.
Socket menjelaskan, "Analisis kami menunjukkan rantai serangan tiga tahap pada Linux/macOS yang dimulai dengan pengiriman payload melalui audio steganografi, eksekusi pengumpul data dalam memori, dan pengiriman data yang terenkripsi ke server penyerang." Seluruh proses berjalan di dalam direktori sementara yang otomatis terhapus untuk menghilangkan jejak forensik.
Untuk Windows, malware mengunduh file hangup.wav dari server kontrol (C2), lalu mengekstrak file eksekusi yang ditempatkan di folder Startup sebagai msbuild.exe. Ini memungkinkan malware bertahan dan berjalan otomatis saat sistem dinyalakan ulang.
Sementara pada Linux dan macOS, malware mengambil file WAV berbeda bernama ringtone.wav untuk mengekstrak skrip pengumpul data tahap ketiga yang langsung dijalankan. Data yang dicuri kemudian dikemas dalam file tpcp.tar.gz dan dikirim melalui HTTP POST ke alamat IP 83.142.209[.]203:8080.
Teknik Steganografi Audio dan Implikasi Serangan
Ossprey Security menyoroti, "Teknik unik dalam kasus ini adalah penggunaan steganografi audio untuk mengirimkan payload final. Alih-alih menyimpan executable mentah atau data base64 yang mudah terdeteksi, pelaku menyembunyikan kode jahat di dalam file WAV." Strategi ini membuat deteksi oleh sistem keamanan dan EDR menjadi jauh lebih sulit.
Sumber kompromi token PYPI_TOKEN milik Telnyx oleh TeamPCP belum terungkap, tetapi kemungkinan besar berasal dari operasi pencurian kredensial sebelumnya. Peneliti dari Endor Labs, Kiran Raj dan Rachana Misal, berpendapat bahwa kompromi ini terkait dengan paket litellm yang sebelumnya juga telah disusupi oleh TeamPCP.
"Penyerang mengumpulkan variabel lingkungan, file .env, dan riwayat shell dari semua sistem yang mengimpor litellm. Jika ada pengembang atau pipeline CI yang memiliki akses ke token PyPI Telnyx, maka token tersebut sudah di tangan TeamPCP," jelas mereka.
Strategi Perbedaan Serangan pada Berbagai Sistem Operasi
Menariknya, pada Linux dan macOS, malware tidak memasang mekanisme bertahan lama (persistence) dan hanya melakukan serangan cepat dalam direktori sementara yang dihapus setelah selesai. Sebaliknya, pada Windows, malware membangun mekanisme bertahan dengan menempatkan executable di folder Startup.
Socket menambahkan, "Strategi ini jelas terlihat: Windows mendapatkan akses jangka panjang dengan executable yang bertahan setelah reboot, sementara Linux/macOS hanya mengalami serangan sekali jalan yang cepat dan langsung menghilang."
Dampak dan Rekomendasi Mitigasi untuk Pengembang
Serangan ini terjadi beberapa hari setelah TeamPCP mendistribusikan versi trojanized paket Python populer litellm yang juga mencuri kredensial cloud, rahasia pipeline CI/CD, dan kunci akses lainnya.
Ini menandai eskalasi baru dalam serangan rantai pasok, di mana pelaku sengaja menargetkan paket open source resmi dengan basis pengguna besar untuk menjangkau korban secara luas, bukannya menggunakan paket tiruan (typosquat).
Dalam konteks ini, Snyk mencatat, "Target serangan adalah alat yang memiliki akses tinggi ke pipeline otomatis, seperti pemindai container (Trivy), alat pemindai infrastruktur (KICS), dan pustaka routing model AI (litellm). Alat-alat ini memang dirancang untuk membaca kredensial dan konfigurasi sistem."
Untuk mengurangi risiko, pengembang disarankan melakukan langkah-langkah berikut:
- Audit lingkungan Python dan
requirements.txtuntuk menemukan versi Telnyx4.87.1atau4.87.2. Jika ditemukan, segera downgrade ke versi 4.87.0 yang bersih. - Asumsikan sudah terjadi kompromi dan lakukan rotasi semua rahasia dan token akses.
- Periksa folder Startup Windows untuk file
msbuild.exeyang mencurigakan. - Blokir domain server C2 dan alamat IP eksfiltrasi (
83.142.209[.]203).
Kolaborasi Pelaku dan Tren Serangan Rantai Pasok
TeamPCP diketahui berkolaborasi dengan kelompok kriminal siber lain seperti LAPSUS$ dan kelompok ransomware baru bernama Vect untuk melakukan operasi pemerasan dan ransomware. Ini menandai pergeseran dimana kelompok ransomware kini juga mengincar rantai pasok perangkat lunak open source sebagai titik masuk serangan lanjutan.
Socket mengingatkan, "Perhatian harus ditingkatkan pada seluruh lingkungan CI/CD yang tidak terkunci. Alat pemindai keamanan, ekstensi IDE, alat build, dan lingkungan eksekusi diberikan akses luas secara default, sehingga ketika alat-alat ini disusupi, seluruh pipeline menjadi titik masuk potensial bagi penyerang."
Dengan meningkatnya serangan rantai pasok seperti ini, sangat penting bagi organisasi dan pengembang untuk memperketat keamanan serta selalu memantau dan memverifikasi integritas paket yang digunakan dalam pipeline mereka.
Analisis Redaksi
Menurut pandangan redaksi, serangan TeamPCP terhadap paket Telnyx menandai babak baru dalam evolusi serangan rantai pasok yang jauh lebih canggih dan sulit dideteksi. Penggunaan steganografi audio sebagai media pengiriman payload adalah inovasi yang memperumit deteksi tradisional dan mengharuskan komunitas keamanan untuk mengembangkan teknik analisis lebih dalam terhadap paket dan data non-tradisional.
Lebih jauh, pembagian strategi serangan antara Windows dan sistem Unix-like memperlihatkan pemahaman mendalam pelaku terhadap perbedaan arsitektur dan kebiasaan pengguna, sehingga mereka mampu memaksimalkan efektivitas serangan pada tiap platform.
Ke depan, penting bagi pengelola repositori dan pengembang untuk meningkatkan pengamanan pipeline distribusi perangkat lunak open source, termasuk memperketat kontrol token akses dan penggunaan signature digital. Pembaca harus terus mengikuti perkembangan kasus ini karena serangan rantai pasok semacam ini berpotensi menimbulkan dampak luas terhadap keamanan infrastruktur TI nasional maupun global.
Informasi lebih lengkap dapat Anda baca pada sumber asli di The Hacker News dan laporan keamanan dari Snyk.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
