Esteganografia em Áudio em Ataques na Cadeia de Suprimentos

Em março, o TeamPCP comprometeu pacotes PyPI, incluindo Trivy, litellm e o SDK da Telnyx, injetando malware oculto em arquivos de áudio WAV. A técnica envolve cargas codificadas em base64 e criptografadas com XOR, embutidas em dados válidos de quadros WAV, permitindo que elas escapem de firewalls, ferramentas EDR e verificações de tipo MIME, já que os arquivos são registrados como áudio inofensivo. Em Linux/macOS, um subprocesso destacável baixava o ringtone.wav de um servidor, extraía a carga na memória e depois se deletava. O coletor capturava variáveis de ambiente, chaves SSH, histórico de shell e credenciais de nuvem, exfiltrando-os criptografados em AES-256-CBC para o mesmo servidor. Métodos de detecção incluem análise de entropia de Shannon e verificações de padrões de quadros base64.