Waspada! Malware Telnyx Bersembunyi dalam Audio WAV

Serangan siber kembali mengguncang ekosistem pengembangan perangkat lunak global. Kali ini, paket populer Telnyx di Python Package Index (PyPI) dilaporkan telah disusupi oleh peretas dan digunakan sebagai sarana penyebaran malware berbahaya. Yang mengejutkan, malware tersebut disembunyikan dalam file audio berformat WAV, memanfaatkan teknik penyamaran yang sulit terdeteksi.

Insiden ini teridentifikasi sebagai serangan rantai pasokan (supply chain attack), yakni jenis serangan yang menargetkan komponen atau layanan pihak ketiga yang digunakan oleh banyak pengembang. Sejumlah perusahaan keamanan aplikasi, seperti Aikido, Socket, dan Endor Labs, menjadi pihak pertama yang mengungkap aktivitas mencurigakan ini.

Berdasarkan analisis mereka, serangan ini dikaitkan dengan kelompok peretas bernama TeamPCP. Atribusi tersebut didasarkan pada pola pencurian data (exfiltration) serta penggunaan kunci RSA yang identik dengan serangan-serangan sebelumnya yang pernah dilakukan kelompok tersebut.

Rekam Jejak Serangan TeamPCP

TeamPCP bukanlah pemain baru dalam dunia kejahatan siber. Kelompok ini diketahui telah beberapa kali melancarkan serangan terhadap berbagai proyek penting, termasuk alat pemindai kerentanan Trivy serta pustaka Python open-source LiteLLM. Bahkan, mereka juga pernah dikaitkan dengan serangan tipe “wiper” yang menargetkan sistem di Iran, yang bertujuan untuk menghapus data secara permanen.

Versi Berbahaya dan Dampaknya

Dalam kasus Telnyx, peretas mengunggah dua versi yang telah disusupi, yaitu 4.87.1 dan 4.87.2. Paket ini sendiri merupakan Software Development Kit (SDK) resmi yang banyak digunakan oleh pengembang untuk mengintegrasikan berbagai layanan komunikasi seperti VoIP, SMS, MMS, WhatsApp, faks, hingga konektivitas Internet of Things (IoT).

Popularitas Telnyx tidak bisa dianggap remeh. Dengan lebih dari 740.000 unduhan per bulan, paket ini menjadi salah satu komponen penting dalam berbagai aplikasi modern. Hal inilah yang membuat serangan ini sangat berbahaya, karena berpotensi menjangkau banyak sistem dalam waktu singkat.

Pada sistem berbasis Linux dan macOS, versi berbahaya ini dapat mencuri berbagai data sensitif, termasuk kunci SSH, kredensial login, token cloud, dompet kripto, serta variabel lingkungan. Sementara itu, pada sistem Windows, malware dirancang untuk bertahan (persisten) dengan menempatkan dirinya di folder startup, sehingga akan aktif setiap kali pengguna masuk ke sistem.

Modus Operandi yang Canggih

Para peneliti menduga bahwa peretas berhasil menyusup ke proyek ini dengan mencuri kredensial akun penerbit di PyPI. Setelah mendapatkan akses, mereka mulai mengunggah versi berbahaya.

Awalnya, versi 4.87.1 dirilis namun mengandung kesalahan sehingga malware tidak berfungsi optimal. Hanya dalam waktu sekitar satu jam, pelaku memperbaiki kesalahan tersebut dan merilis versi 4.87.2 yang sudah sepenuhnya aktif.

Kode berbahaya ditemukan dalam file “telnyx/_client.py”. Menariknya, kode ini dirancang untuk berjalan secara otomatis saat paket diimpor, tanpa mengganggu fungsi normal SDK. Hal ini membuat aktivitas berbahaya sulit terdeteksi oleh pengguna.

Malware dalam File Audio

Salah satu aspek paling unik dari serangan ini adalah penggunaan teknik steganografi. Malware tahap kedua disamarkan dalam file audio WAV bernama “ringtone.wav” pada sistem Linux dan macOS.

Dengan teknik ini, kode berbahaya disisipkan ke dalam data audio tanpa mengubah suara file tersebut. Setelah diunduh dari server command-and-control (C2), data tersembunyi tersebut diekstrak menggunakan metode dekripsi sederhana berbasis XOR, lalu dijalankan langsung di memori sistem.

Teknik ini membuat malware lebih sulit dideteksi oleh sistem keamanan tradisional, karena tampak seperti file audio biasa.

Jika sistem yang terinfeksi menjalankan Kubernetes, malware akan melakukan eksplorasi terhadap cluster, mencari data rahasia, dan mencoba menyebarkan pod dengan hak akses tinggi ke berbagai node. Tujuannya adalah untuk mendapatkan akses lebih luas ke sistem host.

Serangan Khusus Windows

Pada sistem Windows, metode yang digunakan sedikit berbeda. Malware akan mengunduh file WAV lain bernama “hangup.wav”, yang kemudian mengekstrak file eksekusi bernama msbuild.exe.

File ini ditempatkan di folder Startup agar tetap berjalan setelah sistem direstart. Selain itu, terdapat mekanisme penguncian (lock file) yang membatasi eksekusi malware agar tidak terjadi berulang kali dalam jangka waktu 12 jam, sehingga mengurangi risiko terdeteksi.

Imbauan dan Langkah Mitigasi

Para peneliti menegaskan bahwa versi 4.87.0 adalah satu-satunya versi yang aman dan tidak terpengaruh. Pengembang yang menemukan versi 4.87.1 atau 4.87.2 di lingkungan mereka sangat disarankan untuk segera melakukan rollback ke versi aman tersebut.

Lebih lanjut, setiap sistem yang pernah menjalankan versi berbahaya harus dianggap telah sepenuhnya disusupi. Hal ini karena malware dapat langsung aktif saat runtime dan berpotensi telah mencuri data sensitif.

Sebagai langkah mitigasi, para pengguna dianjurkan untuk segera mengganti seluruh kredensial, token, dan data rahasia lainnya. Selain itu, audit keamanan menyeluruh juga sangat diperlukan untuk memastikan tidak ada celah lanjutan yang dapat dimanfaatkan oleh penyerang.

Ancaman Nyata bagi Ekosistem Open Source

Kasus ini kembali menjadi pengingat bahwa ekosistem open source, meskipun sangat bermanfaat, juga memiliki risiko keamanan yang tidak bisa diabaikan. Serangan rantai pasokan seperti ini semakin sering terjadi dan menjadi tantangan besar bagi komunitas pengembang global.

Dengan meningkatnya kompleksitas serangan, diperlukan kewaspadaan ekstra, penggunaan sistem keamanan berlapis, serta praktik pengelolaan dependensi yang lebih ketat agar insiden serupa tidak terulang di masa depan.