TeamPCP黑客组织再袭PyPI：将窃密木马隐藏在WAV音频文件中

2026年3月27日——曾针对Trivy、KICS和litellm发起供应链攻击的威胁行为者TeamPCP，现已通过向Python包索引（PyPI）推送两个恶意版本的方式攻陷了telnyx Python包，用于窃取敏感数据。

## 攻击详情

这两个版本（4.87.1和4.87.2）于2026年3月27日发布到PyPI仓库，将凭证收集功能隐藏在.WAV音频文件中。建议用户立即降级至4.87.0版本。目前该PyPI项目已被隔离。

来自Aikido、Endor Labs、JFrog、Ossprey Security、SafeDep、Socket和StepSecurity的多份报告指出，恶意代码被注入到telnyx/_client.py文件中，当该包被导入Python应用时即被触发。该恶意软件针对Windows、Linux和macOS系统设计。

## 三阶段攻击链

Socket公司表示：我们的分析揭示了Linux/macOS上的三阶段运行时攻击链，包括通过音频隐写技术投递、内存中执行数据收集器、以及加密外泄。整个链条设计为在自毁临时目录中运行，在主机上留下接近零的法医痕迹。

### Windows系统攻击

在Windows上，恶意软件从命令控制（C2）服务器下载名为hangup.wav的文件，从音频数据中提取可执行文件，然后将其以msbuild.exe的名称放入启动文件夹。这使其能够在系统重启后持久化，并在用户每次登录时自动运行。

### Linux/macOS系统攻击

如果受感染主机运行在Linux或macOS上，它会从同一服务器获取另一个.WAV文件（ringtone.wav），提取第三阶段收集器脚本并运行。该凭证收集器旨在捕获广泛的敏感数据，并以tpcp.tar.gz的形式通过HTTP POST请求外泄到83.142.209[.]203:8080。

## 音频隐写技术

Ossprey Security表示：该样本的突出技术——也是文章标题的原因——是使用音频隐写技术来投递最终载荷。攻击者没有将恶意代码作为Base64嵌入，而是从远程服务器下载。

OX Security的Moshe Siman Tov Bustan指出：恶意软件从远程C2服务器下载XOR混淆的WAV文件，解码后在目标机器上执行。

## 与之前攻击的关联

值得注意的是，.WAV技巧对TeamPCP来说并不新鲜。同样的方法曾被用于在通过CanisterWorm和暴露的Docker实例分发的kamikaze擦除恶意软件中隐藏恶意载荷。此外，该恶意软件还具有Kubernetes横向移动组件，滥用Kubernetes服务账户令牌部署特权Pod到每个节点并部署持久化机制。

## 攻击向量分析

目前尚不清楚TeamPCP如何获得该包的PYPI_TOKEN，但很可能是通过先前的凭证收集操作。

Endor Labs研究人员Kiran Raj和Rachana Misal表示：我们认为最可能的向量是litellm攻击本身。TeamPCP的收集器从每个导入litellm的系统中扫描环境变量、.env文件和shell历史记录。如果任何开发者或CI管道同时安装了litellm并有权访问telnyx