Un archivo de audio no debería ser una amenaza. Pero en un reciente ataque a la cadena de suministro, justamente eso (un “simple” .WAV) fue la pieza clave para ocultar malware.

Según informa The Hacker News, el grupo detrás del ataque, conocido como TeamPCP, volvió a escena al comprometer una librería ampliamente utilizada en Python: telnyx. Y lo hizo con una técnica tan inusual como efectiva, esconder código malicioso dentro de archivos de audio.

El 27 de marzo de 2026, se publicaron dos versiones comprometidas del paquete en PyPI, la 4.87.1 y 4.87.2. Ambas incluían código malicioso que se activaba automáticamente al importar la librería en una aplicación.

Pero lo más interesante (aunque sí preocupante) no es el robo de datos en sí. Sino cómo lo hacen.

El truco del archivo .WAV

En lugar de descargar directamente un archivo ejecutable, algo que suele ser detectado rápidamente por sistemas de seguridad, el malware hace algo distinto:

• Descarga un archivo de audio (.WAV) desde un servidor remoto

• Extrae código oculto dentro de ese archivo

• Lo ejecuta en el sistema de la víctima

En Windows, por ejemplo, el archivo descargado (“hangup.wav”) contiene un ejecutable oculto que terminaba instalándose como “msbuild.exe” para mantenerse activo en el sistema.

En Linux y macOS, el enfoque es distinto. Otro archivo de audio (“ringtone.wav”) se usa para ejecutar un script que roba información y desaparece sin dejar rastros.

Pero la clave está en la técnica, la esteganografía de audio. Es decir, esconder datos dentro de un archivo aparentemente inofensivo, en este caso, de audio.

Los archivos .WAV no suelen levantar sospechas y pasan más fácilmente filtros de seguridad, ya que son menos analizados que ejecutables o scripts.

En otras palabras, es una forma de camuflar el ataque dentro de algo cotidiano. Y en entornos como pipelines de desarrollo o sistemas automatizados, donde muchas cosas se descargan sin intervención humana, esto puede pasar completamente desapercibido.

No es la primera vez

Aunque suene novedoso, este no es un truco nuevo para TeamPCP. El mismo grupo ya había utilizado esta técnica anteriormente en ataques vinculados al malware “kamikaze” y en campañas distribuidas a través de infraestructuras comprometidas

La diferencia ahora es el contexto. Lo están aplicando dentro del ecosistema open source, infectando herramientas reales que usan desarrolladores todos los días.

Además, en las últimas semanas, el mismo grupo también comprometió otras herramientas populares del ecosistema Python, como litellm, con el objetivo de robar credenciales, claves de acceso y secretos de entornos de desarrollo.

Buscan repetir un patrón:

1. Comprometer una herramienta confiable

2. Infiltrarse en entornos con acceso sensible (CI/CD, cloud, etc.)

3. Extraer datos valiosos

4. Usarlos en ataques posteriores

Y ahora, además, hacerlo escondiendo el malware en archivos de audio.

Cualquier archivo es potencialmente malicioso

Puede sonar paranoico, pero lamentablemente, es real. Ya no se trata solo de detectar archivos peligrosos. Se trata de entender que cualquier archivo puede ser un vector de ataque si está bien diseñado.

Y también nos muestra que las amenazas no siempre son visibles y los formatos “seguros” pueden no serlo.

Los ataques a la cadena de suministro siguen creciendo en sofisticación. Esta vez fue un .WAV, mañana puede ser cualquier cosa que demos por inofensiva.