嗯,用户让我帮忙总结一下这篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我得仔细阅读文章内容,理解主要信息。 文章讲的是恶意版本的telnyx Python SDK上传到了PyPI,版本是4.87.1和4.87.2。这些包在导入时会直接执行代码,跨平台运行。传播方法是通过获取.wav文件,解码并XOR解密来重建有效载荷。Windows会在启动文件夹中放置msbuild.exe以保持持久性,而Linux和macOS则使用分阶段的Python加载器来执行后续步骤,并进行AES加密和数据外发。C2服务器的IP是83.142.209.203:8080,端点是/hangup.wav和/ringtone.wav。建议用户降级SDK版本、轮换密钥并检查异常流量。 现在需要把这些信息浓缩到100字以内。我得抓住关键点:恶意SDK版本、传播方法(wav文件)、跨平台、Windows和Linux的不同机制、C2服务器以及建议措施。 可能的结构是:恶意SDK版本上传PyPI,跨平台运行,通过wav文件传播,Windows用msbuild.exe保持持久性,Linux/macOS用分阶段加载器加密执行。建议降级、轮换密钥并检查流量。 检查字数是否在限制内,并确保所有关键点都被涵盖。 </think> 恶意版本的telnyx Python SDK上传至PyPI,直接执行代码且跨平台运行。通过获取 WAV 文件解码并解密获取有效载荷。Windows路径利用 msbuild.exe 实现持久化;Linux/macOS路径使用分阶段 Python 加载器提取并执行第二阶段代码,并进行 AES 加密外发数据。C2 服务器地址为 83.142.209.203:8080,访问 /hangup.wav 和 /ringtone.wav 端点。建议受影响用户降级 SDK 版本、轮换密钥并监控异常流量。 2026-3-28 04:27:14 Author: www.reddit.com(查看原文) 阅读量:5 收藏
Malicious versions of the telnyx Python SDK (4.87.1, 4.87.2) were uploaded to PyPI. Code executes directly on import. It works cross-platform.
Delivery method is the interesting part. The package fetches a .wav file from C2, reads frame data, base64-decodes it, then XORs using the first few bytes as key to reconstruct the payload. File is valid audio, so it blends in and its pretty hard to detect by traditional methods.
Windows path drops msbuild.exe into Startup for persistence.
Linux/macOS path uses a staged Python loader → fetch WAV → extract second stage → execute via stdin → AES encrypt + exfil.
C2: 83.142.209.203:8080
Endpoints: /hangup.wav, /ringtone.wav
If you pulled those versions: downgrade, rotate secrets, and check for outbound traffic to that IP.
如有侵权请联系:admin#unsafe.sh