Um novo alerta envolve a Telnyx, empresa por tras de um SDK muito usado por quem integra o servico Telnyx AI Voice Agent: pesquisadores identificaram que criminosos adulteraram o pacote telnyx no PyPI e publicaram versoes maliciosas, transformando uma atualizacao aparente em risco real para quem instala dependencias sem checagem. Segundo a analise, o grupo TeamPCP inseriu um “backdoor” no codigo legitimo e disponibilizou rapidamente as versoes 4.87.1 e 4.87.2, uma logo apos a outra, para aumentar as chances de alguem baixar antes de perceber o problema; a primeira ainda tinha codigo malicioso sem funcionar totalmente, indicando que o ataque estava em evolucao. Esse tipo de incidente e perigoso porque atinge a cadeia de fornecimento: em vez de invadir diretamente uma empresa, o atacante usa um pacote popular como porta de entrada e pode acabar alcançando sistemas internos, dados e operacoes de voz e atendimento. Dica de prevencao: antes de atualizar bibliotecas, confira a versao exata e evite atualizar no “automatico” sem revisao. Se possivel, fixe versoes aprovadas e use ambientes de teste para validar mudancas antes de levar a producao. No geral, o caso reforca que ate ferramentas conhecidas podem ser usadas como isca quando um pacote e modificado por terceiros; para reduzir o impacto de acessos indevidos, conheca o MFA VAULT -Cofre de MFA da MFA2GO. mfa2go.com
Fontes: Help Net Security (https://www.helpnetsecurity.com/2026/03/27/teampcp-telnyx-supply-chain-compromise/)