Thought Leadership
Sicherheitsforscher von JFrog haben eine Kompromittierung der Python-Bibliothek Telnyx aufgedeckt. Die Angreifer versteckten ihren Payload in WAV-Dateien.
Die Python-Bibliothek Telnyx, eine bei KI-Entwicklern beliebte Enterprise-Alternative zu Twilio für Sprachagenten, Messaging und Kommunikationsdienste, wurde Ende März von Angreifern kompromittiert. Das Paket verzeichnete allein im März 2026 rund 670.000 monatliche Nutzer bei insgesamt über 3,8 Millionen Downloads. PyPI hat die betroffenen Versionen inzwischen unter Quarantäne gestellt.
Mehrstufige Verschleierung über WAV-Dateien
Am 27. März tauchten auf PyPI zwei neue Versionen auf (4.87.1 und 4.87.2), die manipulierten Code in der Datei telnyx/_client.py enthielten. Die Angreifer tarnten den Schadcode als reguläre SDK-Aktivität. Konkret lädt der manipulierte Code scheinbar legitime WAV-Audiodateien nach, eine ringtone.wav und eine hangup.wav. In den Audioframes dieser Dateien steckt ein mit Base64 und XOR verschlüsselter Payload, der nach dem Download dekodiert und direkt ausgeführt wird.
Auf Windows-Systemen richtet der Code eine persistente Backdoor im Autostart-Verzeichnis ein, getarnt als msbuild.exe, ein legitimer Microsoft-Prozess. Unter Linux und macOS startet er einen Hintergrundprozess und installiert einen Systemdienst namens audiomon, der Neustarts überlebt. Abgegriffene Daten wie Zugangsdaten, Umgebungsvariablen und lokale Secrets werden AES-256-CBC-verschlüsselt, mit einem RSA-4096-Schlüssel gesichert und an einen externen Server übertragen.
Bekannter Akteur: TeamPCP
JFrog ordnet den Angriff der Gruppe TeamPCP zu. Ausschlaggebend ist der identische öffentliche RSA-4096-Schlüssel, der schon wenige Tage zuvor bei der Kompromittierung der Python-Bibliothek litellm verwendet wurde. Auch die Exfiltrationslogik stimmt weitgehend überein, lediglich die Dienstnamen unterscheiden sich (sysmon bei litellm, audiomon bei Telnyx). Die Gruppe hat in jüngster Zeit gezielt KI-bezogene Bibliotheken in den Ökosystemen NPM, PyPI, Go, OpenVSX und auf GitHub angegriffen.
Gefahr besteht auch bei inaktiven Payload-Servern
Obwohl die C2-Server derzeit nicht erreichbar sind, warnt JFrog vor einer unterschätzten Gefahr: Der Schadcode kommuniziert ausschließlich über ungesichertes HTTP, ohne kryptografische Überprüfung der heruntergeladenen Dateien. Das bedeutet, dass jeder Angreifer im selben Netzwerk die Anfragen per Man-in-the-Middle abfangen und eigene Malware einschleusen kann, völlig unabhängig von TeamPCP. JFrog verweist auf den Unterschied zum XZ-Backdoor-Angriff, bei dem die Payloads zumindest kryptografisch signiert waren.
Was Betroffene jetzt tun sollten
Wer Version 4.87.1 oder 4.87.2 installiert hat, sollte umgehend handeln: betroffene Versionen deinstallieren und auf 4.87.0 zurückgehen (pip install telnyx==4.87.0), sämtliche Zugangsdaten und API-Keys in der Umgebung rotieren, Verbindungen zur C2-Adresse 83.142.209.203:8080 blockieren, unter Windows nach einer msbuild.exe im Autostart-Verzeichnis suchen und unter Linux den Dienst audiomon unter ~/.config/systemd/user/ prüfen und deaktivieren.
JFrog erwartet, dass TeamPCP weitere Repositories und Ökosysteme ins Visier nehmen wird.
(red/JFrog)
