Bahaya! Peretas Susupi Telnyx Python SDK di PyPI untuk Curi Kredensial Cloud dan Developer
Baca dalam 60 detik
- Pustaka Disusupi: Kelompok peretas TeamPCP sukses menyusupkan kode berbahaya (backdoor) ke dalam Telnyx Python SDK versi 4.87.1 dan 4.87.2 di repositori PyPI, yang sempat lolos dan aktif selama empat jam sebelum akhirnya dikarantina.
- Serangan Tak Kasatmata: Begitu pustaka tersebut diimpor oleh pengembang, malware akan terpicu secara diam-diam tanpa memunculkan peringatan. Kode mematikan ini bahkan disembunyikan peretas di dalam file audio WAV menggunakan teknik steganografi.
- Tindakan Mendesak: Malware ini berfungsi untuk mencuri kredensial penting seperti kunci SSH, akses cloud, dan dompet kripto. Menghapus (uninstall) paket tidaklah cukup; pengguna terdampak diwajibkan melakukan respons insiden penuh dan mengganti seluruh kata sandi maupun kunci akses secara manual.
Sebuah paket Python yang sangat populer diam-diam telah diubah menjadi senjata siber berbahaya. Sebagian besar developer yang menjadi korban instalasi bahkan sama sekali tidak menyadari bahwa sistem mereka telah terinfeksi.
Melansir laporan dari Cyber Security News, pada 27 Maret 2026, kelompok peretas yang dikenal sebagai TeamPCP mengunggah dua versi berbahaya dari Telnyx Python SDK ke PyPI (repositori utama bagi para pengembang perangkat lunak Python). Versi yang disusupi, yakni 4.87.1 dan 4.87.2, sempat mengudara dan tersedia untuk diunduh selama sekitar empat jam sebelum akhirnya berhasil dikarantina oleh pihak PyPI. Dalam jeda waktu yang sangat krusial tersebut, instalasi paket yang terlihat normal bisa secara senyap menginfeksi sistem tanpa memicu pesan error atau peringatan apa pun.
- Skala Ancaman: Paket Telnyx bukanlah pustaka kecil; paket ini diunduh sekitar 750.000 kali setiap bulannya. Artinya, potensi kerusakan dan efek domino dari peretasan rantai pasok (supply chain) ini bisa meluas ke banyak layanan.
- Teknik Penyembunyian Canggih: Pelaku hanya memodifikasi satu file saja. Saat paket tersebut diimpor, sebuah skrip akan memicu pengunduhan muatan tersembunyi (payload) yang disamarkan di dalam fail audio berformat WAV menggunakan teknik steganografi.
- Target Pencurian: Malware ini beroperasi sebagai pemanen kredensial kelas berat yang secara agresif mencuri kunci SSH, kredensial penyedia cloud (AWS, GCP, Azure), rahasia Kubernetes, konfigurasi database, hingga dompet kripto.
Para analis keamanan Hexastrike menemukan bahwa metode infeksi ini dirancang untuk menetap (persistent). Pada sistem operasi Windows, kode berbahaya diekstrak dan masuk ke folder Startup dengan nama palsu msbuild.exe agar luput dari kecurigaan. Sementara pada Linux dan macOS, prosesnya berjalan langsung di memori komputer tanpa harus meninggalkan rekam jejak pada diska. Organisasi yang sempat menginstal versi rentan diimbau keras untuk menetapkan status pembobolan dan segera merotasi seluruh kunci akses mereka.
| Detail Insiden Keamanan | Keterangan Singkat |
|---|---|
| Pelaku Ancaman | TeamPCP (memiliki kaitan dengan kelompok peretas TeamTNT) |
| Paket Rentan (Terdampak) | Telnyx Python SDK (Versi 4.87.1 & 4.87.2) di PyPI |
| Target Utama Pencurian | Kredensial Cloud, Kunci SSH, Token Kubernetes, & Dompet Kripto |
