Hackers vulneran SDK de Telnyx en PyPI y roban credenciales

Hackers vulneran SDK de Telnyx en PyPI y roban credenciales

TeamPCP comprometió el SDK de Telnyx en PyPI con tokens robados. Descubre cómo opera esta amenaza y cómo protegerte.

Por Humberto Toledo el 27 marzo, 2026 a las 18:34

Seguir en

✨︎ Resumen (TL;DR):

  • El grupo TeamPCP comprometió el SDK de Python de Telnyx publicando versiones con malware.
  • Los atacantes ya exfiltraron cerca de 300 gigabytes de credenciales de entornos CI/CD.
  • Los expertos en seguridad instan a degradar el paquete a la versión 4.87.0 y rotar contraseñas.

El grupo de hackers TeamPCP comprometió el SDK oficial de Python de Telnyx en PyPI para robar contraseñas y datos de infraestructura. Los atacantes publicaron las versiones maliciosas utilizando credenciales extraídas de brechas de seguridad previas, afectando a miles de entornos de desarrollo.

Las versiones vulneradas 4.87.1 y 4.87.2 se publicaron el 27 de marzo entre las 03:51 y las 04:07 UTC. El código apareció directamente en PyPI sin sus respectivos registros en GitHub, lo que confirma que las credenciales de publicación fueron robadas y no se trató de una infiltración al repositorio original.

Investigadores de Endor Labs señalaron que el token de Telnyx probablemente fue capturado durante el ataque al paquete LiteLLM tres días antes. En ese incidente, los hackers extrajeron variables de entorno y archivos de sistema de las máquinas que instalaron la biblioteca de inteligencia artificial, la cual registra unos 95 millones de descargas mensuales.

Desplome en Wall Street: filtración de IA de Anthropic hunde acciones de ciberseguridad
Te podría interesar:
Desplome en Wall Street: filtración de IA de Anthropic hunde acciones de ciberseguridad
Hackers vulneran SDK de Telnyx en PyPI y roban credenciales
Hackers vulneran SDK de Telnyx en PyPI y roban credenciales

Malware oculto en archivos de audio

El código inyectado en Telnyx introduce una táctica de evasión que descarga un ejecutable escondido dentro de un archivo de audio WAV. El ataque varía según el sistema operativo:

  • En Linux y macOS: El malware roba llaves SSH, tokens de Docker y Kubernetes, accesos a bases de datos y billeteras de criptomonedas.
  • En Windows: Instala un archivo persistente en la carpeta de Inicio disfrazado como el proceso nativo msbuild.exe.

La firma de seguridad Socket reportó que TeamPCP cerró una alianza con la banda de ransomware Vect. Juntos ya extrajeron 300 gigabytes de credenciales de entornos CI/CD, demostrando que los operadores de ransomware ahora utilizan la cadena de suministro como puerta de entrada corporativa.

“Dada la cantidad de credenciales robadas en lo que probablemente sean miles de entornos dependientes, esperen un aumento en las divulgaciones de brechas, intrusiones de seguimiento y los intentos de extorsión en las próximas semanas”, advirtió Brett Leatherman, subdirector de la División Cibernética del FBI.

Los equipos de Datadog Security Research catalogan el ataque como un incidente de exposición total. Los usuarios afectados deben regresar de inmediato a la versión 4.87.0 de Telnyx, cambiar todas sus llaves de acceso e investigar cualquier tráfico saliente no autorizado en sus redes.

Fuentes: 1, 2, 3, 4

+ Temas Relacionados

Más de Programación