PyPI公式パッケージ「Telnyx」がバックドア汚染——WAV音声ファイルに隠されたマルウェアが認証情報を窃取

PyPI公式パッケージ「Telnyx」がサプライチェーン攻撃の標的に

Pythonの公式パッケージリポジトリPyPIで配布されているTelnyx公式SDK（Software Development Kit）が、ハッカーグループ「TeamPCP」によって侵害され、バックドアを仕込まれた悪意あるバージョンが公開されていたことが明らかになった。このサプライチェーン攻撃は、セキュリティ企業のAikido・Socket・Endor Labsが相次いで観測・報告した。

TelnyxのPyPIパッケージは、VoIP（音声通話）・SMS/MMS・WhatsApp・FAX・IoT接続などの通信サービスをPythonアプリケーションに組み込むための公式ライブラリで、月間ダウンロード数は74万件を超える広く利用されたSDKだ。

攻撃の手口——WAVファイルに潜む「ステガノグラフィ」

攻撃者はPyPIの公開アカウントに対する認証情報を窃取したとみられ、2026年3月27日に悪意あるバージョン4.87.1（UTC 03:51）と4.87.2（UTC 04:07）を相次いでリリースした。

悪意のあるコードはtelnyx/_client.py内に仕込まれており、パッケージのインポート時に自動実行される。正規のSDKとしての機能はそのまま維持されているため、開発者が気づきにくい点が特徴的だ。

Linux・macOS環境では、感染したシステムがリモートのC2（コマンド＆コントロール）サーバーからringtone.wavという名のWAVファイルをダウンロードする。このファイルにはステガノグラフィ（画像・音声データに情報を隠蔽する技術）が用いられており、音声として再生しても異常は検出されない。マルウェアのコードはXOR演算による復号ルーティンで取り出され、メモリ上で直接実行される。

窃取対象となるデータは以下の通りだ：

• SSHキー・各種認証情報
• AWSやGCPなどのクラウドサービストークン
• 暗号資産（仮想通貨）ウォレット
• 環境変数（.envファイル等）

さらに、Kubernetes環境が稼働中の場合、マルウェアはクラスター内のシークレットを列挙し、特権ポッドを各ノードに展開してホストシステムへの侵入を試みる。クラウドネイティブ環境を運用する企業にとって特に深刻なリスクとなり得る。

Windows環境ではhangup.wavという別のWAVファイルからMSBuild.exeに偽装した実行ファイルが取り出され、スタートアップフォルダに配置されることでシステム再起動後も持続的に動作する。

対処方法

セキュリティ研究者は、バージョン4.87.0が改ざんされていない正規のリリースであると確認しており、4.87.1または4.87.2を利用していた場合は直ちに4.87.0へのロールバックを強く推奨している。

また、悪意あるバージョンをインポートしたシステムはすでに完全に侵害されたものとして扱うべきであり、以下の対応が求められる：

• すべてのシークレット・APIキー・パスワードを即時ローテーション
• クラウド認証情報とKubernetesシークレットの無効化・再発行
• システム全体のフォレンジック調査の実施

背景——TeamPCPによる連続攻撃

TeamPCPは今回だけでなく、セキュリティツール「Trivy」（Aqua Security製）やLLM統合ライブラリ「LiteLLM」など、開発者コミュニティで広く利用されるOSSパッケージを標的にしたサプライチェーン攻撃を繰り返しているグループだ。イランのシステムを標的にしたワイパーマルウェア攻撃との関連も指摘されている。

PyPIをはじめとするパッケージリポジトリのセキュリティが改めて問われている。開発者は依存パッケージのバージョン管理と定期的な脆弱性スキャンを習慣化することが重要だ。

元記事: Backdoored Telnyx PyPI package pushes malware hidden in WAV audio