TeamPCP nime all tuntud häkkerirühm rikkus PyPI hoidlas oleva LiteLLM paketi ja avaldas viimastel päevadel pahatahtlikud versioonid. Python teek, mis ühendab ühe API kaudu juurdepääsu mitmele suurele keelemudeli pakkujale, on viimase kuu jooksul registreerinud üle 95 miljoni allalaadimise ja ületab 3,4 miljonit igapäevast allalaadimist. Versioonid 1.82.7 ja 1.82.8 sisaldasid pahatahtlikku koodi, mis on võimeline koguma tundlikke mandaate ja installima mõjutatud keskkondades püsivusmehhanisme. Especialistas tuvastas juhtumi 24. märtsil 2026 ja ohustatud versioonid eemaldati PyPI-st kiiresti.
LiteLLM toimib ühise väravana tehisintellekti teenuste integreerimiseks arendusprojektidesse. Mõjutatud mooduli Qualquer import käivitas peidetud kasuliku koormuse. Endor Labs täpsustas, et pahatahtlik kood sisestati paketi teatud failidesse, sealhulgas proxy_server.py ja .pth-faili, mis käivitub automaatselt Python tõlgi käivitamisel.
- Versioonide 1.82.7 või 1.82.8 installide kohene kontrollimine kohapealsetes keskkondades ja CI/CD torujuhtmetes.
- Kõigi avatud SSH-võtmete, pilvemärkide ja saladuste kiire pööramine.
- Artefaktide, näiteks kahtlaste .pth-failide ja varjatud süsteemsete teenuste kontrollimine.
Pahatahtliku koodi sisestamise mehhanism
Pahatahtlikud osalejad sisestasid ohustatud versioonides base64-kodeeritud kasuliku koormuse faili litellm/proxy/proxy_server.py. Essa kasulik koormus dekodeeritakse ja käivitatakse iga kord, kui moodul imporditakse. Versioon 1.82.8 lisas ka faili litellm_init.pth, mis tagab automaatse täitmise alati, kui Python keskkond käivitatakse, laiendades rünnaku ulatust isegi ilma teeki otsese kasutamiseta.
Kasulik koormus järgib täpselt määratletud kolmeastmelist järjestust. Primeiro, teostab süsteemituvastuse selliste käskudega nagu hostname, whoami, uname ja ip addr. Seejärel kogub see mitmesuguseid mandaate, sealhulgas SSH-võtmeid, AWS-i, GCP-i ja Azure-i pilvekonfiguratsioone, Kubernetes-teenusemärke, .env-faile, andmebaasi mandaate, privaatseid TLS-võtmeid ja krüptovaluuta rahakoti andmeid. Lõpuks proovib see Kubernetes klastrites külgsuunalist liikumist, rakendades igale sõlmele privilegeeritud kaustasid.
Mandaadi ja salajase varguse üksikasjad
TeamPCP Cloud Stealer variant infostealer kogus andmed krüptitud faili tpcp.tar.gz. Esse-fail saadetakse ründaja juhitavasse infrastruktuuri domeenis models.litellm.cloud. Süsteemne teenus, mis on maskeeritud nimega “Telemetria Sistema Service”, hoiab perioodiliselt ühendust saidiga checkmarx.zone, et laadida alla lisakoormusi ja tagada püsivus.
Arendajad, kes kasutavad LiteLLM-i tehisintellekti torustikes või rakendustes, millel on juurdepääs mitmele LLM-i pakkujale, seisavad silmitsi kõrgendatud kokkupuute riskiga. Rünnak pärib tehnilisi sarnasusi Trivy Aqua Security skanneri eelmise kompromissiga, mis omistati samuti samale rühmale. Relatos näitab, et andmeid on välja võetud sadu tuhandeid, kuigi täpsed arvud jäävad sõltumatu kontrolli alla.
TeamPCP grupi varasemad rünnakud
TeamPCP oli juba lähitulevikus läbi viinud projekti Trivy ja Aqua Security sellega seotud komponendid. Essa juhtumite jada näitab keskendumist tarkvaraarenduse ahelas laialdaselt kasutusele võetud tööriistadele, eriti neile, mis on integreeritud CI/CD-voogude ja pilvepõhiste keskkondadega. Rühm uuris ka Kubernetes klastreid skriptidega, mis eristavad käitumist geograafilise piirkonna järgi.
Installitud püsivus sisaldab süsteemset tagaust, mis tõmbab automaatselt täiendavaid binaarfaile. Analistas on täheldanud katseid teatud tuvastatud konfiguratsioonides süsteeme täielikult kustutada, samal ajal kui muudel juhtudel keskendutakse saladuste vaikivale kogumisele.
Soovitatavad meetmed mõjutatud organisatsioonidele
Organisatsioonid peaksid kontrollima installiloge ja viivitamatult üle minema versioonile 1.82.6 või uuemale, mida peetakse puhtaks. Kõigi potentsiaalselt mõjutatud seadmetes leiduvate saladuste ja žetoonide pööramine on kahju piiramise prioriteet. Busca kahtlaste failide jaoks, nagu ~/.config/sysmon/sysmon.py, /tmp/pglog ja kube-süsteemi nimeruumis leiduvad petturid, aitab tuvastada järelejäänud kompromisse.
Väljamineva liikluse jälgimine ründajatega seotud domeenidesse täiendab esialgseid toiminguid. Especialistas kinnitab, et regulaarne mandaatide vaheldumine vähendab märkimisväärselt kaskaadrünnakute ohtu tarkvara tarneahelas. Equipes turvatöötajad peavad kontrollima Kubernetes keskkondi volitamata külgsuunalise liikumise suhtes.
Püsiva kandevõime tehniline analüüs
Süsteemse kasutajateenusena installitud tagauks peab edasiste juhiste saamiseks sidet kaugserveriga. Essa arhitektuur võimaldab ründajatel aja jooksul laiendada kontrolli nakatunud süsteemide üle. Eksfiltreerimismehhanism krüpteerib andmed enne saatmist, muutes nende tuvastamise transpordi ajal keeruliseks.
Arendajad, kes säilitavad jagatud keskkondades või konteinerites Python sõltuvusi, peaksid kontrollima hiljutist installiajalugu. LiteLLM-i populaarsus tehisintellektiprojektides suurendab intsidendi potentsiaalset ulatust kaasaegsetes arenguökosüsteemides.
Värskendused pahatahtlike versioonide eemaldamise kohta
Versioonid 1.82.7 ja 1.82.8 eemaldati PyPI-st pärast probleemi tuvastamist. Projekti Mantenedores andis kasutajatele välja turvahoiatused ja juhised. Turvakogukond jälgib juhtumit, et kaardistada võimalikud mõjud hoidlatele, mis sõltuvad ajutiselt LiteLLM-ist.
Teadlased jätkavad pahavara näidiste analüüsimist, et tuvastada uusi variante või täiendavaid käitumisviise. Usuários, kes installis mõjutatud versioonid, peab käsitlema kõiki oma süsteemides olevaid mandaate kui potentsiaalselt paljastatud.
