كشفت تقارير أمنية أن مجموعة TeamPCP، المعروفة سابقاً بهجماتها على أدوات مثل Trivy وKICS وlitellm، قامت باختراق حزمة telnyx على مستودع PyPI عبر نشر نسختين خبيثتين (4.87.1 و4.87.2) في 27 مارس 2026. هذه النسخ تضمنت آلية متطورة لإخفاء برمجية سرقة بيانات داخل ملفات صوتية من نوع WAV، في واحدة من أكثر تقنيات الاستغلال إبداعاً وخطورة.
آلية الهجوم عبر ملفات WAV
أوضحت شركات أمنية مثل Socket وOssprey Security أن الكود الخبيث تم حقنه في ملف telnyx/_client.py، بحيث يتم تنفيذه عند استدعاء الحزمة في أي تطبيق بايثون.
- على أنظمة ويندوز: يتم تنزيل ملف “hangup.wav” من خادم C2، واستخراج ملف تنفيذي مخفي داخله، ثم وضعه في مجلد Startup باسم “msbuild.exe” لضمان الاستمرارية بعد إعادة التشغيل.
- على أنظمة Linux وmacOS: يتم جلب ملف “ringtone.wav” واستخراج سكربت جامع للبيانات، يعمل بسرعة لجمع بيانات الاعتماد والبيانات الحساسة، ثم يرسلها في ملف مضغوط “tpcp.tar.gz” إلى خادم خارجي عبر HTTP POST.
الميزة الأبرز هنا هي استخدام التخفي عبر الصوت (Audio Steganography)، حيث يتم تغليف الحمولة الخبيثة داخل ملف WAV بدلاً من ملف تنفيذي أو نص مشفر، مما يجعل اكتشافها أصعب بكثير عبر أنظمة المراقبة التقليدية.
مصدر الاختراق المحتمل
لم يُعرف بعد كيف حصلت المجموعة على رمز PYPI_TOKEN الخاص بالحزمة، لكن باحثي Endor Labs رجحوا أن الاختراق السابق لحزمة litellm كان السبب، إذ أن البرمجية الخبيثة هناك كانت تجمع متغيرات البيئة وملف env وسجلات الأوامر، ما قد يكون كشف بيانات الدخول الخاصة بـ Telnyx.
أهداف استراتيجية للهجوم
تشير تحليلات Snyk إلى أن اختيار TeamPCP لهذه الحزم لم يكن عشوائياً، بل ركز على أدوات ذات وصول واسع إلى بيئات التطوير والبنية التحتية مثل:
- Trivy: أداة فحص الحاويات.
- KICS: أداة فحص البنية التحتية.
- litellm: مكتبة توجيه نماذج الذكاء الاصطناعي.
هذه الأدوات بطبيعتها تمتلك صلاحيات واسعة للوصول إلى بيانات الاعتماد والملفات الحساسة، ما يجعلها أهدافاً مثالية لهجمات سلسلة التوريد.
توصيات الحماية
للتقليل من المخاطر، ينصح الخبراء المطورين بما يلي:
- مراجعة بيئات بايثون وملفات requirements.txt للتأكد من عدم وجود نسخ telnyx==4.87.1 أو telnyx==4.87.2.
- العودة فوراً إلى النسخة الآمنة 4.87.0.
- افتراض حدوث اختراق والقيام بتدوير جميع المفاتيح والأسرار.
- البحث عن ملف “msbuild.exe” في مجلد Startup على ويندوز.
- حجب الاتصال بالخادم الضار 83.142.209[.]203:8080.
دلالات أوسع
هذا الهجوم يعكس تحولاً استراتيجياً في نشاط العصابات السيبرانية، حيث لم تعد تركز فقط على التصيّد أو استغلال الثغرات، بل بدأت في تسليح هجمات سلسلة التوريد ضد البنية التحتية مفتوحة المصدر، ما يضاعف من خطورة التهديدات على بيئات التطوير وعمليات CI/CD.
