Telnyx Python SDK遭供应链攻击，恶意版本出现在PyPI

Telnyx Python SDK 供应链被入侵

Telnyx云通信服务商发布安全通告，警告其Python SDK在PyPI上出现了恶意版本。这代表了又一起针对热门开源包的供应链攻击。

事件经过

Telnyx Python SDK的未授权版本被发布到PyPI。这些恶意包可能窃取凭据、植入后门或从使用系统泄露敏感数据。

供应链攻击模式

Telnyx事件遵循了Python包供应链攻击的增长趋势：凭据窃取（恶意版本通常针对API密钥和认证令牌）、依赖混淆（攻击者发布与私有内部包同名包）、域名仿冒（模仿流行库的细微变体包名）。

行业影响

供应链攻击已成为2026年最重大的网络安全威胁之一。本月初LiteLLM供应链入侵以及uv包管理器事件，凸显了Python包生态系统的系统性脆弱性。

建议

锁定依赖包精确版本、对关键依赖进行哈希校验、监控PyPI上所依赖包的未授权版本、考虑为敏感应用使用私有包仓库、在CI/CD流水线中实施自动化依赖扫描。