Η ομάδα χάκερ γνωστή ως TeamPCP παραβίασε το πακέτο LiteLLM στο αποθετήριο PyPI και δημοσίευσε κακόβουλες εκδόσεις τις τελευταίες ημέρες. Η βιβλιοθήκη Python, η οποία λειτουργεί ως ενοποιητής πρόσβασης σε πολλούς μεγάλους παρόχους μοντέλων γλωσσών μέσω ενός μόνο API, έχει καταγράψει περισσότερες από 95 εκατομμύρια λήψεις τον τελευταίο μήνα και ξεπερνά τις 3,4 εκατομμύρια ημερήσιες λήψεις. Οι εκδόσεις 1.82.7 και 1.82.8 περιείχαν κακόβουλο κώδικα ικανό να συλλέγει ευαίσθητα διαπιστευτήρια και να εγκαθιστά μηχανισμούς επιμονής σε επηρεαζόμενα περιβάλλοντα. Ο Especialistas εντόπισε το περιστατικό στις 24 Μαρτίου 2026 και οι παραβιασμένες εκδόσεις αφαιρέθηκαν γρήγορα από το PyPI.
Το LiteLLM χρησιμεύει ως κοινή πύλη για την ενσωμάτωση υπηρεσιών τεχνητής νοημοσύνης σε αναπτυξιακά έργα. Η εισαγωγή Qualquer της επηρεαζόμενης μονάδας ενεργοποίησε το κρυφό ωφέλιμο φορτίο. Το Endor Labs διευκρίνισε ότι ο κακόβουλος κώδικας εισήχθη σε συγκεκριμένα αρχεία εντός του πακέτου, συμπεριλαμβανομένου του proxy_server.py και ενός αρχείου .pth που εκτελείται αυτόματα κατά την εκκίνηση του διερμηνέα Python.
- Άμεση επαλήθευση εγκαταστάσεων των εκδόσεων 1.82.7 ή 1.82.8 σε περιβάλλοντα εσωτερικού χώρου και αγωγούς CI/CD.
- Επείγουσα περιστροφή όλων των εκτεθειμένων κλειδιών SSH, των διακριτικών cloud και των μυστικών.
- Επιθεώρηση τεχνουργημάτων όπως ύποπτα αρχεία .pth και συγκαλυμμένες υπηρεσίες systemd.
Μηχανισμός έγχυσης κακόβουλου κώδικα
Κακόβουλοι φορείς εισήγαγαν το ωφέλιμο φορτίο με κωδικοποίηση base64 στο αρχείο litellm/proxy/proxy_server.py στις παραβιασμένες εκδόσεις. Το ωφέλιμο φορτίο Essa αποκωδικοποιείται και εκτελείται κάθε φορά που εισάγεται η μονάδα. Η έκδοση 1.82.8 πρόσθεσε επίσης ένα αρχείο litellm_init.pth που εγγυάται την αυτόματη εκτέλεση κάθε φορά που ξεκινά το περιβάλλον Python, επεκτείνοντας το εύρος της επίθεσης ακόμη και χωρίς άμεση χρήση της βιβλιοθήκης.
Το ωφέλιμο φορτίο ακολουθεί μια καλά καθορισμένη ακολουθία τριών βημάτων. Primeiro, εκτελεί αναγνώριση συστήματος με εντολές όπως hostname, whoami, uname και ip addr. Στη συνέχεια συλλέγει διάφορα διαπιστευτήρια, συμπεριλαμβανομένων κλειδιών SSH, διαμορφώσεων cloud για AWS, GCP και Azure, διακριτικά υπηρεσίας Kubernetes, αρχεία .env, διαπιστευτήρια βάσης δεδομένων, ιδιωτικά κλειδιά TLS και δεδομένα πορτοφολιού κρυπτονομισμάτων. Τέλος, επιχειρεί πλευρική κίνηση σε συμπλέγματα Kubernetes αναπτύσσοντας προνομιούχες ομάδες σε κάθε κόμβο.
Διαπιστευτήρια και στοιχεία μυστικής κλοπής
Οι ομάδες infostealer παραλλαγής TeamPCP Cloud Stealer συνέλεξαν δεδομένα σε ένα κρυπτογραφημένο αρχείο tpcp.tar.gz. Το αρχείο Esse αποστέλλεται σε υποδομή που ελέγχεται από τον εισβολέα στον τομέα models.litellm.cloud. Μια υπηρεσία systemd μεταμφιεσμένη ως “Telemetria Sistema Service” διατηρεί περιοδική επαφή με το checkmarx.zone για τη λήψη πρόσθετων ωφέλιμων φορτίων και τη διασφάλιση της ανθεκτικότητας.
Οι προγραμματιστές που χρησιμοποιούν LiteLLM σε αγωγούς τεχνητής νοημοσύνης ή εφαρμογές που έχουν πρόσβαση σε πολλούς παρόχους LLM αντιμετωπίζουν αυξημένο κίνδυνο έκθεσης. Η επίθεση κληρονομεί τεχνικές ομοιότητες με τον προηγούμενο συμβιβασμό του σαρωτή Aqua Security του Trivy, που επίσης αποδόθηκε στην ίδια ομάδα. Το Relatos δείχνει ότι έχουν πραγματοποιηθεί εκατοντάδες χιλιάδες εξαγωγές δεδομένων, αν και οι ακριβείς αριθμοί παραμένουν υπό ανεξάρτητη επαλήθευση.
Προηγούμενες επιθέσεις από την ομάδα TeamPCP
Το TeamPCP είχε ήδη δεσμεύσει το έργο Trivy και τα σχετικά στοιχεία του Aqua Security στο εγγύς μέλλον. Η ακολουθία συμβάντων Essa δείχνει μια εστίαση σε εργαλεία που υιοθετούνται ευρέως στην αλυσίδα ανάπτυξης λογισμικού, ειδικά σε αυτά που είναι ενσωματωμένα με ροές CI/CD και περιβάλλοντα εγγενή στο cloud. Η ομάδα διερεύνησε επίσης συμπλέγματα Kubernetes με σενάρια που διαφοροποιούν τις συμπεριφορές ανά γεωγραφική περιοχή.
Η εγκατεστημένη επιμονή περιλαμβάνει systemd backdoor που ανακτά αυτόματα επιπλέον δυαδικά αρχεία. Οι Analistas έχουν παρατηρήσει προσπάθειες πλήρους σκουπίσματος συστημάτων σε συγκεκριμένες ανιχνευμένες διαμορφώσεις, ενώ σε άλλες περιπτώσεις η εστίαση παραμένει στη σιωπηλή συλλογή μυστικών.
Συνιστώμενα μέτρα για φορείς που επηρεάζονται
Οι οργανισμοί θα πρέπει να ελέγχουν τα αρχεία καταγραφής εγκατάστασης και να κάνουν αμέσως αναβάθμιση στην έκδοση 1.82.6 ή μεταγενέστερη, η οποία θεωρείται καθαρή. Η εναλλαγή όλων των μυστικών και των διακριτικών που βρίσκονται σε συσκευές που ενδέχεται να επηρεαστούν είναι μια ενέργεια προτεραιότητας για τον περιορισμό της ζημιάς. Το Busca για ύποπτα αρχεία όπως τα ~/.config/sysmon/sysmon.py, /tmp/pglog και τα rogue pods στον χώρο ονομάτων του συστήματος kube βοηθά στον εντοπισμό υπολειπόμενων παραβιάσεων.
Η παρακολούθηση της εξερχόμενης κυκλοφορίας σε τομείς που σχετίζονται με εισβολείς συμπληρώνει τις αρχικές ενέργειες. Το Especialistas ενισχύει ότι η τακτική εναλλαγή διαπιστευτηρίων μειώνει σημαντικά τον κίνδυνο διαδοχικών επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού. Το προσωπικό ασφαλείας Equipes πρέπει να επιθεωρήσει περιβάλλοντα Kubernetes για μη εξουσιοδοτημένη πλευρική κίνηση.
Επίμονη τεχνική ανάλυση ωφέλιμου φορτίου
Η κερκόπορτα που είναι εγκατεστημένη ως υπηρεσία χρήστη systemd διατηρεί επικοινωνία με τον απομακρυσμένο διακομιστή για λήψη περαιτέρω οδηγιών. Η αρχιτεκτονική Essa επιτρέπει στους εισβολείς να επεκτείνουν τον έλεγχο σε μολυσμένα συστήματα με την πάροδο του χρόνου. Ο μηχανισμός διήθησης κρυπτογραφεί τα δεδομένα πριν από την αποστολή, καθιστώντας δύσκολη την ανίχνευση κατά τη μεταφορά.
Οι προγραμματιστές που διατηρούν εξαρτήσεις Python σε κοινόχρηστα περιβάλλοντα ή κοντέινερ θα πρέπει να ελέγχουν το πρόσφατο ιστορικό εγκατάστασης. Η δημοτικότητα του LiteLLM σε έργα τεχνητής νοημοσύνης αυξάνει την πιθανή εμβέλεια του περιστατικού στα σύγχρονα αναπτυξιακά οικοσυστήματα.
Ενημερώσεις για την αφαίρεση κακόβουλων εκδόσεων
Οι εκδόσεις 1.82.7 και 1.82.8 αποσύρθηκαν από το PyPI μετά τον εντοπισμό του ζητήματος. Το Mantenedores του έργου εξέδωσε ειδοποιήσεις ασφαλείας και καθοδήγηση για τους χρήστες. Η κοινότητα ασφαλείας παρακολουθεί την υπόθεση για να χαρτογραφήσει πιθανές επιπτώσεις σε αποθετήρια που εξαρτώνται μεταβατικά από το LiteLLM.
Οι ερευνητές συνεχίζουν να αναλύουν δείγματα του κακόβουλου λογισμικού για να εντοπίσουν νέες παραλλαγές ή πρόσθετες συμπεριφορές. Ο Usuários που εγκατέστησε τις επηρεαζόμενες εκδόσεις πρέπει να αντιμετωπίζει όλα τα διαπιστευτήρια που υπάρχουν στα συστήματά του ως δυνητικά εκτεθειμένα.