La hacker grupo konata kiel TeamPCP endanĝerigis la LiteLLM-pakaĵon en la deponejo PyPI kaj publikigis malicajn versiojn en la lastaj tagoj. La biblioteko Python, kiu funkcias kiel unuiganto de aliro al pluraj grandaj lingvomodelaj provizantoj per ununura API, registris pli ol 95 milionojn da elŝutoj en la lasta monato kaj superas 3,4 milionojn da ĉiutagaj elŝutoj. Versioj 1.82.7 kaj 1.82.8 enhavis malican kodon kapablan rikolti sentemajn akreditaĵojn kaj instali persistajn mekanismojn en trafitaj medioj. Especialistas identigis la okazaĵon la 24-an de marto 2026, kaj la kompromititaj versioj estis rapide forigitaj de PyPI.
LiteLLM funkcias kiel komuna enirejo por integri artefaritinteligentajn servojn en evoluigajn projektojn. Qualquer importo de la tuŝita modulo ekigis la kaŝitan utilan ŝarĝon. Endor Labs detaligis, ke la malica kodo estis injektita en specifajn dosierojn ene de la pakaĵo, inkluzive de proxy_server.py kaj .pth-dosiero, kiu aŭtomate funkcias kiam oni komencas la interpretilon Python.
- Tuja konfirmo de instalaĵoj de versioj 1.82.7 aŭ 1.82.8 en surlokaj medioj kaj CI/CD-duktoj.
- Urĝa rotacio de ĉiuj elmontritaj SSH-ŝlosiloj, nubaj ĵetonoj kaj sekretoj.
- Inspektado de artefaktoj kiel suspektindaj .pth dosieroj kaj maskitaj systemd servoj.
Malica koda injekta mekanismo
Malicaj aktoroj enmetis la base64-koditan utilan ŝarĝon en la dosieron litellm/proxy/proxy_server.py en la kompromititaj versioj. Essa utila ŝarĝo estas malkodita kaj efektivigita ĉiufoje kiam la modulo estas importita. Versio 1.82.8 ankaŭ aldonis litellm_init.pth dosieron kiu garantias aŭtomatan ekzekuton kiam ajn la Python-medio estas komencita, vastigante la amplekson de la atako eĉ sen rekta uzo de la biblioteko.
La utila ŝarĝo sekvas bone difinitan tri-ŝtupan sekvencon. Primeiro, plenumas sisteman rekonon per komandoj kiel hostname, whoami, uname kaj ip addr. Ĝi tiam kolektas diversajn akreditaĵojn, inkluzive de SSH-ŝlosiloj, nubaj agordoj por AWS, GCP, kaj Azure, Kubernetes-servaj ĵetonoj, .env-dosieroj, datumbazaj akreditaĵoj, privataj TLS-ŝlosiloj kaj kriptaj monujo-datumoj. Fine, ĝi provas flankan movadon sur Kubernetes-aretoj deplojante privilegiajn podojn sur ĉiu nodo.
Akreditaĵoj kaj sekretaj ŝtelaj detaloj
La TeamPCP Cloud Stealer variantaj infoŝtelgrupoj kolektis datumojn en ĉifritan tpcp.tar.gz-dosieron. Esse dosiero estas sendita al atakanto-kontrolita infrastrukturo en la domajno models.litellm.cloud. Systemd-servo alivestita kiel “Telemetria Sistema Servo” konservas periodan kontakton kun checkmarx.zone por elŝuti pliajn utilajn ŝarĝojn kaj certigi persiston.
Programistoj uzantaj LiteLLM en AI-duktoj aŭ aplikoj alirantaj plurajn LLM-provizantoj alfrontas altan riskon de malkovro. La atako heredas teknikajn similecojn kun la antaŭa kompromiso de la skanilo Trivy de Aqua Security, ankaŭ atribuita al la sama grupo. Relatos indikas ke centoj da miloj da eltiroj de datumoj okazis, kvankam precizaj nombroj restas sub sendependa konfirmo.
Antaŭaj atakoj de la grupo TeamPCP
TeamPCP jam faris la projekton Trivy kaj rilatajn komponantojn de Aqua Security en proksima estonteco. Essa-sekvenco de okazaĵoj montras fokuson sur iloj vaste adoptitaj en la programara disvolva ĉeno, precipe tiuj integritaj kun CI/KD-fluoj kaj nub-denaskaj medioj. La grupo ankaŭ esploris Kubernetes aretojn kun skriptoj kiuj diferencigas kondutojn laŭ geografia regiono.
La instalita persisto inkluzivas sisteman malantaŭan pordon, kiu aŭtomate alportas pliajn binarojn. Analistas observis provojn tute forviŝi sistemojn en specifaj detektitaj agordoj, dum en aliaj kazoj la fokuso restas sur la silenta kolekto de sekretoj.
Rekomenditaj mezuroj por tuŝitaj organizoj
Organizoj devus kontroli instalajn protokolojn kaj tuj ĝisdatigi al versio 1.82.6 aŭ pli alta, kiu estas konsiderata pura. Rotacii ĉiujn sekretojn kaj ĵetonojn trovitajn sur eble trafitaj aparatoj estas prioritata ago por limigi damaĝon. Busca por suspektindaj dosieroj kiel ~/.config/sysmon/sysmon.py, /tmp/pglog, kaj friponaj podoj en la kube-sistema nomspaco helpas identigi restajn kompromisojn.
Monitorado de elira trafiko al domajnoj asociitaj kun atakantoj kompletigas komencajn agojn. Especialistas plifortigas tiun regulan rotacion de akreditaĵoj signife reduktas la riskon de kaskadaj atakoj en la programara provizoĉeno. Equipes sekureca personaro devas inspekti Kubernetes mediojn por neaŭtorizita flanka movado.
Konstanta utila ŝarĝa teknika analizo
La malantaŭa pordo instalita kiel systemd uzantservo konservas komunikadon kun fora servilo por ricevi pliajn instrukciojn. Essa-arkitekturo permesas al atakantoj vastigi kontrolon de infektitaj sistemoj laŭlonge de la tempo. La eksfiltrada mekanismo ĉifras datumojn antaŭ sendado, malfaciligante detekti en transito.
Programistoj, kiuj konservas Python-dependecojn en komunaj medioj aŭ ujoj, devus revizii lastatempan instalhistorion. La populareco de LiteLLM en projektoj pri artefarita inteligenteco pliigas la eblan atingon de la okazaĵo en modernaj evoluaj ekosistemoj.
Ĝisdatigoj pri forigo de malicaj versioj
Versioj 1.82.7 kaj 1.82.8 estis retiriĝitaj de PyPI post kiam la afero estis identigita. Mantenedores de la projekto eldonis sekurecatentigojn kaj gvidojn por uzantoj. La sekureca komunumo sekvas la kazon por mapi eblajn efikojn al deponejoj, kiuj transitive dependas de LiteLLM.
Esploristoj daŭre analizas specimenojn de la malware por identigi novajn variantojn aŭ pliajn kondutojn. Usuários, kiuj instalis la tuŝitajn versiojn, devas trakti ĉiujn akreditaĵojn ĉe siaj sistemoj kiel eble elmontritajn.