اختراق تلنيكس على PyPI: سرقة بيانات عبر WAV

اختراق تلنيكس على PyPI يكشف عن نسخ خبيثة تخفي أداة سرقة بيانات داخل ملفات WAV، ما يهدد مطوري بايثون ويستدعي خفض الإصدار فوراً.

ما تفاصيل اختراق تلنيكس على PyPI؟

تحركت مجموعة TeamPCP مجدداً عبر هجوم سلسلة توريد يستهدف حزمة telnyx الشهيرة في بايثون، مع نشر نسختين خبيثتين على PyPI بتاريخ 27 مارس 2026. وفقاً لمتابعة تيكبامين، تم عزل المشروع مؤقتاً بينما تُراجع الحزمة.

• الإصدارات المصابة: 4.87.1 و4.87.2
• الإصدار الآمن الموصى به: 4.87.0 أو أقدم
• طريقة التفعيل: حقن الشفرة في telnyx/_client.py عند الاستيراد

أظهرت التقارير أن الشفرة تستهدف Windows وLinux وmacOS مع محاولة جمع بيانات اعتماد واسعة. هذا النمط يؤكد تصاعد مخاطر سلسلة التوريد التي تضرب بيئات التطوير. وتم وضع المشروع في وضع حجر مؤقت لتقليل الضرر.

كيف تعمل الحمولة الخبيثة عبر ملفات WAV؟

المهاجمون لجؤوا إلى إخفاء الحمولة داخل ملفات WAV باستخدام إخفاء البيانات الصوتي، لتفادي فحص الشبكات وبرامج الحماية. سلسلة التنفيذ تتكون من ثلاث مراحل تبدأ بالتنزيل وتنتهي بتسريب مشفر.

لماذا التخفي داخل الصوت؟

التقنية تمنح المهاجمين غطاءً جيداً لأن ملفات الصوت تبدو بريئة في الفحص الشبكي وتقلل مؤشرات الاختراق. كما يتم تشغيل الشفرة في الذاكرة ضمن مجلدات مؤقتة ذاتية الحذف، ما يترك آثاراً شبه معدومة.

ماذا يحدث على Windows؟

على Windows يجري تنزيل ملف hangup.wav من خادم التحكم، ثم استخراج ملف تنفيذي يُحفظ داخل مجلد Startup باسم msbuild.exe. بهذه الطريقة يضمن المهاجم تشغيل الأداة تلقائياً عند تسجيل الدخول.

وماذا عن Linux وmacOS؟

أما على Linux وmacOS فيتم جلب ملف ringtone.wav لاستخراج سكربت جامع للبيانات يعمل في مجلد مؤقت. وبعد التجميع تُرسل البيانات في أرشيف tpcp.tar.gz عبر طلب HTTP إلى العنوان 83.142.209[.]203:8080.

ما البيانات التي تستهدفها الأداة؟

الجامع الخبيث يفتش عن مفاتيح الوصول والرموز الحساسة، بما فيها رموز خدمات الدفع وواجهات البرمجة. ويُرجح أن رمز PyPI الخاص بحزمة تلنيكس تم الحصول عليه عبر إصابة سابقة لحزمة litellm.

• متغيرات البيئة وملفات .env
• سجلات أوامر الطرفية وملفات التاريخ
• مفاتيح CI/CD والرموز المؤقتة
• بيانات اعتماد البريد وخدمات السحابة

هذا يعني أن أي مطور يدمج الحزم المصابة قد يتعرض لتسريب بيانات حساسة حتى من دون تشغيل مباشر للبرنامج. وتزداد الخطورة عندما تعمل الحزمة داخل بيئات CI التي تمتلك مفاتيح نشر وإنتاج.

كيف يحمي المطورون مشاريعهم الآن؟

للحد من أثر الهجوم، ينصح الخبراء باتخاذ خطوات سريعة تشمل الرجوع للإصدار الآمن وتدوير المفاتيح. كما تساعد مراقبة الاتصالات الصادرة في كشف أي نشاط غير طبيعي.

ما الإجراءات العاجلة الموصى بها؟

• خفض الإصدار إلى 4.87.0 وإزالة النسخ المصابة
• تغيير جميع مفاتيح API وكلمات المرور المرتبطة
• إعادة بناء بيئات CI/CD وتنظيف الحزم المؤقتة
• تفعيل فحص الاعتمادات وقيود الشبكة في مشاريع بايثون
• مراجعة السجلات لأي اتصال بالعنوان المذكور

تؤكد تيكبامين أن اختراق تلنيكس على PyPI يبرز ضرورة تدقيق سلسلة التوريد دورياً، لأن هجمات اليوم تستهدف أدوات المطورين قبل التطبيقات نفسها.