来源: https://safedep.io/malicious-telnyx-pypi-compromise/
TL;DR
2026年3月27日发布到PyPI的两个版本telnyx(4.87.1和4.87.2)包含注入的恶意代码telnyx/_client.py。该telnyx软件包平均每月下载量超过100万次(约每天3万次),使其成为影响巨大的供应链漏洞。恶意代码会从远程服务器下载隐藏在WAV音频文件中的第二阶段二进制文件,然后在Windows系统上投放持久性可执行文件,或在Linux/macOS系统上窃取凭据。窃取的数据在泄露前使用AES-256-CBC和硬编码的RSA-4096公钥进行加密。RSA密钥和操作模式与litellm PyPI漏洞相同,因此可以高度确信此次攻击是由TeamPCP发起的