Hakerska skupina poznata kao TeamPCP kompromitirala je LiteLLM paket u PyPI repozitoriju i objavila zlonamjerne verzije posljednjih dana. Knjižnica Python, koja djeluje kao objedinjujući pristup nekoliko velikih pružatelja jezičnih modela putem jednog API-ja, zabilježila je više od 95 milijuna preuzimanja u posljednjih mjesec dana i prelazi 3,4 milijuna dnevnih preuzimanja. Verzije 1.82.7 i 1.82.8 sadržavale su zlonamjerni kod koji je mogao prikupiti osjetljive vjerodajnice i instalirati mehanizme postojanosti u pogođenim okruženjima. Especialistas identificirao je incident 24. ožujka 2026., a kompromitirane verzije brzo su uklonjene iz PyPI-ja.
LiteLLM služi kao uobičajeni pristupnik za integraciju usluga umjetne inteligencije u razvojne projekte. Qualquer uvoz zahvaćenog modula pokrenuo je skriveni korisni teret. Endor Labs je detaljno opisao da je zlonamjerni kod ubačen u određene datoteke unutar paketa, uključujući proxy_server.py i .pth datoteku koja se automatski pokreće prilikom pokretanja Python tumača.
- Trenutačna provjera instalacija verzija 1.82.7 ili 1.82.8 u lokalnim okruženjima i CI/CD cjevovodima.
- Hitna rotacija svih izloženih SSH ključeva, tokena u oblaku i tajni.
- Inspekcija artefakata kao što su sumnjive .pth datoteke i prikrivene systemd usluge.
Mehanizam za ubacivanje zlonamjernog koda
Zlonamjernici su u kompromitiranim verzijama umetnuli sadržaj kodiran base64 u datoteku litellm/proxy/proxy_server.py. Essa korisni teret se dekodira i izvršava svaki put kada se modul uveze. Verzija 1.82.8 također je dodala litellm_init.pth datoteku koja jamči automatsko izvršavanje kad god se pokrene okruženje Python, proširujući opseg napada čak i bez izravne upotrebe biblioteke.
Korisni teret slijedi dobro definiran niz od tri koraka. Primeiro, obavlja prepoznavanje sustava s naredbama kao što su hostname, whoami, uname i ip addr. Zatim prikuplja razne vjerodajnice, uključujući SSH ključeve, konfiguracije oblaka za AWS, GCP i Azure, Kubernetes servisne tokene, .env datoteke, vjerodajnice baze podataka, privatne TLS ključeve i podatke novčanika kriptovalute. Na kraju, pokušava bočno kretanje na klasterima Kubernetes postavljanjem povlaštenih podova na svakom čvoru.
Podaci o vjerodajnici i tajnoj krađi
Grupe infostealer varijante TeamPCP Cloud Stealer prikupljale su podatke u šifriranu datoteku tpcp.tar.gz. Esse datoteka šalje se infrastrukturi koju kontrolira napadač u domeni models.litellm.cloud. Systemd usluga maskirana kao “Telemetria Sistema usluga” održava povremeni kontakt s checkmarx.zone radi preuzimanja dodatnih korisnih podataka i osiguravanja postojanosti.
Programeri koji koriste LiteLLM u cjevovodima umjetne inteligencije ili aplikacijama koje pristupaju više pružatelja LLM-a suočavaju se s povećanim rizikom izloženosti. Napad nasljeđuje tehničke sličnosti s prethodnim kompromisom skenera Trivy Aqua Security, koji se također pripisuje istoj grupi. Relatos ukazuje da je došlo do stotina tisuća ekstrakcija podataka, iako točne brojke ostaju pod neovisnom provjerom.
Prethodni napadi grupe TeamPCP
TeamPCP je već predao projekt Trivy i povezane komponente Aqua Security u bliskoj budućnosti. Essa niz incidenata pokazuje fokus na alate široko prihvaćene u lancu razvoja softvera, posebno one integrirane s CI/CD tokovima i izvornim okruženjima u oblaku. Grupa je također istraživala klastere Kubernetes sa skriptama koje razlikuju ponašanja prema geografskoj regiji.
Instalirana postojanost uključuje backdoor systemd koji automatski dohvaća dodatne binarne datoteke. Analistas su primijetili pokušaje potpunog brisanja sustava u određenim otkrivenim konfiguracijama, dok u drugim slučajevima fokus ostaje na tihom prikupljanju tajni.
Preporučene mjere za pogođene organizacije
Organizacije bi trebale provjeriti zapisnike instalacije i odmah izvršiti nadogradnju na verziju 1.82.6 ili višu, koja se smatra čistom. Rotiranje svih tajni i tokena pronađenih na potencijalno pogođenim uređajima prioritetna je radnja za ograničavanje štete. Busca za sumnjive datoteke kao što su ~/.config/sysmon/sysmon.py, /tmp/pglog i rogue pods u prostoru naziva kube-sustava pomaže u prepoznavanju preostalih kompromisa.
Praćenje izlaznog prometa prema domenama povezanim s napadačima nadopunjuje početne radnje. Especialistas potvrđuje da redovita rotacija vjerodajnica značajno smanjuje rizik od kaskadnih napada u lancu nabave softvera. Sigurnosno osoblje Equipes treba pregledati okolinu Kubernetes radi neovlaštenog bočnog kretanja.
Tehnička analiza trajnog korisnog opterećenja
Backdoor instaliran kao korisnička usluga systemd održava komunikaciju s udaljenim poslužiteljem radi primanja daljnjih uputa. Essa arhitektura omogućuje napadačima da s vremenom prošire kontrolu nad zaraženim sustavima. Mehanizam za eksfiltraciju šifrira podatke prije slanja, što otežava otkrivanje u prijenosu.
Programeri koji održavaju Python ovisnosti u zajedničkim okruženjima ili spremnicima trebaju revidirati nedavnu povijest instalacija. Popularnost LiteLLM-a u projektima umjetne inteligencije povećava potencijalni doseg incidenta u modernim razvojnim ekosustavima.
Ažuriranja o uklanjanju zlonamjernih verzija
Verzije 1.82.7 i 1.82.8 povučene su iz PyPI-ja nakon što je identificiran problem. Mantenedores projekta izdao je sigurnosna upozorenja i upute za korisnike. Sigurnosna zajednica prati slučaj kako bi mapirala moguće utjecaje na repozitorije koji tranzitivno ovise o LiteLLM-u.
Istraživači nastavljaju analizirati uzorke zlonamjernog softvera kako bi identificirali nove varijante ili dodatna ponašanja. Usuários koji je instalirao pogođene verzije treba tretirati sve vjerodajnice prisutne na svojim sustavima kao potencijalno izložene.