Послушали музыку — отдали ключи. Хакеры превратили обычный WAV-файл в шпиона
NewsMakerВ официальной Python-библиотеке Telnyx обнаружили вредоносный код для кражи данных.
Недавнее заражение популярной Python-библиотеки для работы с коммуникациями показало, насколько уязвимой остаётся цепочка поставок в Open Source. Вредоносный код незаметно встроили в официальный Python SDK Telnyx, который используют тысячи проектов для работы со звонками и сообщениями, и атака долгое время оставалась практически невидимой.
Команда Socket обнаружила , что версии telnyx 4.87.1 и 4.87.2, опубликованные в PyPI , содержали скрытый механизм кражи данных. Библиотека широко применяется в серверных системах и часто работает с API-ключами, инфраструктурой телефонии и пользовательскими данными, поэтому компрометация создаёт серьёзные риски. Вредоносные версии уже изолированы, а разработчикам советуют срочно откатиться к версии 4.87.0 или более ранней.
Атака оказалась многоступенчатой и продуманной. Злоумышленники внедрили код в основной файл клиента библиотеки, который автоматически загружается при любом использовании SDK. Благодаря этому вредоносный механизм запускался не при установке, а уже во время работы приложения, обходя типичные методы обнаружения.
Дальше включалась цепочка из трёх этапов. Сначала программа загружала аудиофайл с удалённого сервера. Внутри WAV-файла скрывался второй этап — зашифрованный скрипт, извлекаемый с помощью стеганографии . Затем вредоносный код запускался напрямую в памяти без записи на диск и собирал данные из системы. На финальном этапе похищенная информация шифровалась и отправлялась на сервер управления.
Недавнее заражение популярной Python-библиотеки для работы с коммуникациями показало, насколько уязвимой остаётся цепочка поставок в Open Source. Вредоносный код незаметно встроили в официальный Python SDK Telnyx, который используют тысячи проектов для работы со звонками и сообщениями, и атака долгое время оставалась практически невидимой.
Команда Socket обнаружила , что версии telnyx 4.87.1 и 4.87.2, опубликованные в PyPI , содержали скрытый механизм кражи данных. Библиотека широко применяется в серверных системах и часто работает с API-ключами, инфраструктурой телефонии и пользовательскими данными, поэтому компрометация создаёт серьёзные риски. Вредоносные версии уже изолированы, а разработчикам советуют срочно откатиться к версии 4.87.0 или более ранней.
Атака оказалась многоступенчатой и продуманной. Злоумышленники внедрили код в основной файл клиента библиотеки, который автоматически загружается при любом использовании SDK. Благодаря этому вредоносный механизм запускался не при установке, а уже во время работы приложения, обходя типичные методы обнаружения.
Дальше включалась цепочка из трёх этапов. Сначала программа загружала аудиофайл с удалённого сервера. Внутри WAV-файла скрывался второй этап — зашифрованный скрипт, извлекаемый с помощью стеганографии . Затем вредоносный код запускался напрямую в памяти без записи на диск и собирал данные из системы. На финальном этапе похищенная информация шифровалась и отправлялась на сервер управления.