安全通告

关于 Telnyx Python API library 4.87.1/4.82.2 供应链投毒漏洞的预警通报

发布日期：2026–04–01

[2026]004号

漏洞描述

Telnyx Python库为任何Python应用程序提供了对Telnyx REST API的便捷访问。2026年3月26日，互联网上披露其发生供应链投毒攻击，其投毒版本中 telnyx/_client.py 被插入了恶意代码，攻击者可借此控制受害者服务器权限。

漏洞编号

无

漏洞危害

恶意载荷被封装在一个合法的 WAV（音频）文件中,恶意软件包下载该合法的 WAV 文件，从其“音频”帧中提取出恶意编码的有效载荷，并执行它。攻击者可借此控制受害者服务器权限，获取相关密码凭证信息。

漏洞等级

超危
受影响版本

Telnyx 4.87.1

Telnyx 4.87.2

修复方案

1. 确认您拥有的是受感染的版本pip show telnyx，立即更新或卸载该版本。
2. 阻止所有 C2 地址通信。
3. 撤销并轮换环境中所有可能暴露的凭据。
4. 扫描是否存在其他持久性：在 Windows 计算机上，检查恶意软件的磁盘有效载荷 -%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msbuild.exe

参考链接

https://avd.aliyun.com/detail?id=AVD-2026-1863847

https://mp.weixin.qq.com/s/FSuelFb_4PiR6eVX-nxxsQ