TeamPCP veröffentlichte zunächst Telnyx 4.87.1 um 03:51 UTC, allerdings mit einer schädlichen, aber nicht funktionsfähigen Schadlast. Rund eine Stunde später korrigierte der Akteur den Fehler und stellte um 04:07 UTC die Version 4.87.2 bereit.
Der Schadcode steckt in der Datei „telnyx/_client.py" und wird beim Import automatisch ausgelöst, während die legitimen SDK-Klassen weiterhin wie erwartet funktionieren. Auf Linux- und macOS-Systemen startet die Schadlast einen abgekoppelten Prozess, der von einem entfernten Command-and-Control-Server (C2) eine zweite Stufe herunterlädt – getarnt als WAV-Audiodatei namens „ringtone.wav".
Mittels Steganografie betteten die Angreifer den Schadcode in die Datenframes der Datei ein, ohne das Audio selbst zu verändern. Die Schadlast wird über eine einfache XOR-basierte Entschlüsselung extrahiert und im Arbeitsspeicher ausgeführt, um vom infizierten Rechner sensible Daten abzugreifen. Dazu zählen SSH-Schlüssel, Zugangsdaten, Cloud-Token, Kryptowährungs-Wallets, Umgebungsvariablen und weitere Geheimnisse.
Läuft auf der Maschine Kubernetes, zählt die Schadsoftware die Cluster-Geheimnisse auf und verteilt privilegierte Pods über die Knoten, um auf die darunterliegenden Host-Systeme zuzugreifen. Auf Windows-Systemen lädt die Malware eine andere WAV-Datei („hangup.wav") herunter, aus der eine ausführbare Datei namens „msbuild.exe" extrahiert wird. Diese wird zur Persistenz über Neustarts hinweg im Autostart-Ordner abgelegt; eine Sperrdatei begrenzt wiederholte Ausführungen auf 12-Stunden-Fenster.
Nach Angaben der Forscher ist die SDK-Version 4.87.0 die saubere Variante mit unverändertem, legitimem Telnyx-Code. Entwicklern wird dringend geraten, auf diese Version zurückzuwechseln, falls sie die Versionen 4.87.1 oder 4.87.2 in ihrer Umgebung vorfinden. Da der Schadcode zur Laufzeit ausgeführt wird und möglicherweise bereits Daten exfiltriert hat, sollten betroffene Systeme als vollständig kompromittiert behandelt und alle Geheimnisse so schnell wie möglich erneuert werden.
TeamPCP wird mit mehreren weiteren Lieferketten-Angriffen in Verbindung gebracht, darunter auf den Schwachstellen-Scanner Trivy von Aqua Security und die quelloffene Python-Bibliothek LiteLLM, sowie mit Wiper-Angriffen auf iranische Systeme.
