Внедрённый в клоны вредоносный код работает по принципу двойного агента: с одной стороны, он дублирует функциональность настоящей библиотеки, чтобы разработчик не почувствовал разницы на этапе тестирования, с другой — незаметно компрометирует окружение. В частности, фиксируется кража API-ключей, токенов ботов и учётных данных для доступа к инфраструктуре Telegram. Это создаёт эффект домино: скомпрометированный разработчик становится невольным проводником атаки, а через его проекты уязвимость распространяется на конечных пользователей.
Что это значит для бизнеса: организациям, использующим собственные Telegram-решения, стоит немедленно провести аудит зависимостей и убедиться, что установлен именно легитимный пакет
pyrogram, а не его графически схожие подделки. Рекомендуется жёсткая фиксация версий в requirements.txt и использование внутренних зеркал PyPI с верификацией контрольных сумм.