駭客TeamPCP對PyPI套件Telnyx發動供應鏈攻擊，透過WAV檔挾帶惡意軟體

攻擊概要

駭客組織TeamPCP（也被稱為PCPcat、ShellForce、CipherForce）近期針對Python生態系統發動供應鏈攻擊，入侵PyPI上的Telnyx套件，透過惡意WAV音訊檔藏匿惡意軟體，導致開發者在安裝套件時無意識地執行惡意代碼。

攻擊手法與技術細節

• 攻擊者將惡意軟體嵌入Telnyx Python SDK的惡意版本（如4.87.1與4.87.2），並透過PyPI公開分發。
• 惡意軟體在安裝過程中透過WAV音訊檔進行「音訊隱寫術」（steganography），將惡意代碼隱藏於看似無害的音訊檔案中。
• 惡意程式在不同作業系統上執行不同策略：Windows、Linux與macOS皆會觸發惡意行為，其中Linux與macOS會執行資安資料竊取工具，使用AES-256-CBC與RSA-4096加密竊取資料。
• 攻擊者使用被盜的API令牌手動上傳惡意版本，並非透過GitHub Actions等自動化流程，顯示其對供應鏈流程的深度操控。

與先前攻擊的關聯性

此攻擊與先前針對LiteLLM套件的攻擊有共通點，兩者惡意程式使用的RSA-4096公鑰完全相同，顯示攻擊者為同一組織，且攻擊手法高度一致。

影響與風險

由於Telnyx為廣泛使用的通信工具，惡意套件一旦被安裝，將可能導致開發者系統遭竊取帳號、密碼，甚至被用於進一步的惡意活動。

目前Telnyx官方已確認此事件，並呼籲開發者立即檢查其套件版本，避免安裝惡意版本。

來源：https://www.ithome.com.tw/news/174749