Telnyx Python 包恶意代码漏洞 (GHSA-953r-262c-63c5) 漏洞概述 时间: 2025年3月27日 攻击者: 利用泄露的 PyPI 凭证直接上传恶意版本,绕过 GitHub 发布流程 恶意版本: (有缺陷) 和 (功能完整) 安全版本: 暴露窗口: 约6小时 (03:51 UTC - 10:13 UTC) 恶意行为 恶意代码注入 ,执行时触发: Linux/macOS: 1. 生成独立子进程 2. 从 C2 下载隐藏于 WAV 音频文件的 payload (隐写术) 3. 窃取凭证:SSH 密钥、云凭证、K8s token、Docker 配置、数据库凭证、加密钱包 4. 若发现 K8s 访问权限,部署特权 pod 进行横向移动 5. AES-256-CBC + RSA-4096 加密后外泄至 C2 Windows: 1. 从 C2 下载隐藏于 WAV 文件的二进制程序 2. 植入 Startup 文件夹持久化 3. 隐藏窗口执行 --- 影响范围 受影响情况 2025年3月27日 03:51-10:13 UTC 期间安装/升级 未指定版本执行 获取到 4.87.1 或 4.87.2 依赖项传递引入未固定版本的 不受影响情况 固定版本 ≤4.87.0 2025年3月27日前安装且未升级 从 GitHub 源码构建(恶意代码未提交至仓库) --- 修复方案 1. 检查是否受影响 2. 移除受感染版本 3. 轮换所有可能暴露的密钥 SSH 密钥 AWS/GCP/Azure 凭证 Kubernetes token 和服务账号 Docker 仓库凭证 数据库密码 .env 文件中的 API 密钥 Telnyx API 密钥 4. 检查持久化 (Linux/macOS) 5. 检查持久化 (Windows) 6. 固定至安全版本 requirements.txt: --- IOC (入侵指标) 恶意包哈希 (SHA-256) 网络 IOC 文件系统 IOC 外渗信息 压缩包名: HTTP Header: 加密: AES-256-CBC + RSA-4096 OAEP --- 归因 攻击归因于 TeamPCK,依据: 与 ULTRALUM 泄露 (2024年3月24日) 相同的 RSA-4096 公钥 命名约定 (TeamPCK 签名) 相同的 AES-256-CBC + RSA OAEP 加密方案 相同的凭证窃取目标和技术