📌 Contexte

Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx.

🎯 Déroulement de l’incident

Deux versions non autorisées du package telnyx ont été publiées sur PyPI :

  • telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026
  • telnyx==4.87.2 : publiée peu après

Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI.

👥 Périmètre d’impact

Sont potentiellement affectés :

  • Les utilisateurs ayant installé ou mis à jour le package telnyx entre 03:51 UTC et 10:13 UTC le 27 mars 2026
  • Les pipelines CI/CD ou builds Docker ayant tiré ces versions
  • Les projets avec une dépendance transitive non épinglée sur telnyx

Ne sont pas affectés :

  • Les utilisateurs de la version 4.87.0 ou antérieure
  • Les utilisateurs de l’API REST Telnyx directement (sans SDK Python)

🔍 Indicateurs de compromission (IOCs)

  • Serveur C2 : 83.142.209.203:8080
  • Technique d’exfiltration : livraison de payload par stéganographie WAV

🛠️ Vecteur d’attaque

L’attaquant a obtenu les credentials de publication PyPI de Telnyx pour publier les versions malveillantes. L’investigation sur le mode d’obtention de ces credentials est en cours.

⚠️ Périmètre non compromis

La plateforme Telnyx, ses APIs, son infrastructure de production, ses services voix, messagerie, SIP et IA n’ont pas été compromis. Aucune donnée client n’a été accédée via cet incident.

📄 Nature de l’article

Il s’agit d’un avis de sécurité officiel (post-mortem) publié par Telnyx, visant à informer les utilisateurs affectés, fournir les IOCs disponibles et documenter le périmètre de l’incident.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

  • IPv4 : 83.142.209.203

Malware / Outils

  • WAV steganography payload (other)

🔗 Source originale : https://telnyx.com/resources/telnyx-python-sdk-supply-chain-security-notice-march-2026