D’Hackergrupp bekannt als TeamPCP huet de LiteLLM Package am PyPI Repository kompromittéiert a béiswëlleg Versiounen an de leschten Deeg publizéiert. D’Python Bibliothéik, déi als Unifier vun Zougang zu e puer grousse Sproochemodell Ubidder duerch eng eenzeg API wierkt, huet méi wéi 95 Milliounen Downloads am leschte Mount opgeholl an iwwerschratt 3.4 Milliounen deeglech Downloads. D’Versioune 1.82.7 an 1.82.8 enthale béiswëlleg Code fäeg fir sensibel Umeldungsinformatiounen ze sammelen an d’Persistenzmechanismen an de betroffenen Ëmfeld z’installéieren. Especialistas identifizéiert den Tëschefall de 24. Mäerz 2026, an déi kompromittéiert Versioune goufen séier aus PyPI geläscht.
LiteLLM déngt als gemeinsame Paart fir Kënschtlech Intelligenz Servicer an Entwécklungsprojeten z’integréieren. Qualquer Import vum betraffene Modul huet déi verstoppte Notzlaascht ausgeléist. Endor Labs detailléiert datt de béisaarteg Code a spezifesche Dateien am Package injizéiert gouf, dorënner proxy_server.py an eng .pth Datei déi automatesch leeft wann den Python Dolmetscher start.
- Direkt Verifizéierung vun Installatiounen vun Versiounen 1.82.7 oder 1.82.8 an on-premises Ëmfeld an CI / CD Pipelines.
- Dréngend Rotatioun vun all ausgesat SSH Schlësselen, Wollek Tokens, a Geheimnisser.
- Inspektioun vun Artefakte wéi verdächteg .pth Dateien a verkleed Systemd Servicer.
Béiswëlleg Code Injektioun Mechanismus
Béisaarteg Akteuren hunn d’Base64-kodéiert Notzlaascht an d’litellm/proxy/proxy_server.py Datei an de kompromittéierte Versiounen agebaut. Essa Notzlaascht gëtt dekodéiert an ausgefouert all Kéier wann de Modul importéiert gëtt. D’Versioun 1.82.8 huet och e litellm_init.pth-Datei bäigefüügt, deen automatesch Ausféierung garantéiert wann d’Python-Ëmfeld gestart ass, den Ëmfang vun der Attack erweidert och ouni direkt Benotzung vun der Bibliothéik.
D’Notzlaascht follegt eng gutt definéiert dräi-Schrëtt Sequenz. Primeiro, mécht System Unerkennung mat Kommandoen wéi Hostnumm, whoami, uname an ip adr. Et sammelt dann verschidde Umeldungsinformatiounen, dorënner SSH Schlësselen, Cloud Konfiguratiounen fir AWS, GCP, an Azure, Kubernetes Service Tokens, .env Dateien, Datebank Umeldungsinformatiounen, privat TLS Schlësselen, a Krypto-Währung Portemonnaie Daten. Schlussendlech probéiert et lateral Bewegung op Kubernetes Cluster andeems se privilegiéiert Pods op all Node ofsetzen.
Umeldungsinformatioune a geheime Vol Detailer
D’TeamPCP Cloud Stealer Variant Infostealer Gruppen hunn Daten an eng verschlësselte tpcp.tar.gz Datei gesammelt. Esse Datei gëtt op Ugräifer-kontrolléiert Infrastruktur am Domain models.litellm.cloud geschéckt. E systemd Service verkleed als “Telemetria Sistema Service” hält periodesch Kontakt mat checkmarx.zone fir zousätzlech Notzlaascht erofzelueden an d’Persistenz ze garantéieren.
Entwéckler, déi LiteLLM an AI Pipelines benotzen oder Uwendungen, déi Zougang zu multiple LLM Ubidder benotzen, stellen e erhéicht Risiko vun der Belaaschtung. D’Attack ierft technesch Ähnlechkeeten mat de fréiere Kompromëss vum Trivy Aqua Security Scanner, och un déi selwecht Grupp zougeschriwwen. Relatos weisen datt Honnerte vun Dausende vun Dateextraktiounen geschitt sinn, obwuel exakt Zuelen ënner onofhängeger Verifizéierung bleiwen.
Virdrun Attacke vun der TeamPCP Grupp
TeamPCP hat schonn den Trivy Projet a verbonne Komponente vum Aqua Security an der nächster Zukunft engagéiert. Essa Sequenz vun Tëschefäll weist e Fokus op Tools déi wäit an der Softwareentwécklungskette ugeholl ginn, besonnesch déi integréiert mat CI / CD Fluxen a Cloud-gebierteg Ëmfeld. D’Grupp exploréiert och Kubernetes Stärekéip mat Scripten datt Behuelen duerch geographesch Regioun differenzéiert.
Déi installéiert Persistenz enthält systemd Backdoor déi automatesch zousätzlech Binären erofhuelen. Analistas hunn Versich observéiert fir Systemer a spezifesche festgestallte Konfiguratiounen komplett ze wëschen, während an anere Fäll de Fokus op déi roueg Sammlung vu Geheimnisser bleift.
Recommandéiert Moossname fir betraff Organisatiounen
Organisatiounen sollen d’Installatiounsprotokoller iwwerpréiwen an direkt op d’Versioun 1.82.6 oder méi upgrade upgrade, wat als propper ugesi gëtt. Rotéiere vun all Geheimnisser an Tokens, déi op potenziell betraffene Geräter fonnt goufen, ass eng Prioritéitaktioun fir Schued ze limitéieren. Busca fir verdächteg Dateie wéi ~/.config/sysmon/sysmon.py, /tmp/pglog, a rogue Pods am Kube-System Nummraum hëlleft Rescht Kompromëss z’identifizéieren.
Iwwerwaachung vum Outbound Traffic op Domainen verbonne mat Ugräifer ergänzt initial Aktiounen. Especialistas verstäerken datt reegelméisseg Umeldungsrotatioun de Risiko vu kaskadéierende Attacken an der Softwareversuergungskette wesentlech reduzéiert. Equipes Sécherheetspersonal muss Kubernetes Ëmfeld fir onerlaabt saitlech Bewegung iwwerpréiwen.
Persistent Notzlaascht technesch Analyse
D’Backdoor installéiert als systemd User Service hält d’Kommunikatioun mam Fernserver fir weider Instruktiounen ze kréien. Essa Architektur erlaabt Ugräifer d’Kontroll iwwer infizéiert Systemer mat der Zäit auszebauen. Den Exfiltratiounsmechanismus verschlësselt Daten virum Verschécken, wat et schwéier mécht am Transit z’entdecken.
Entwéckler déi Python Ofhängegkeeten a gemeinsamen Ëmfeld oder Container erhalen, solle rezent Installatiounsgeschicht kontrolléieren. D’Popularitéit vu LiteLLM a kënschtlech Intelligenz Projeten erhéicht d’potenziell Erreeche vum Tëschefall an modernen Entwécklungs-Ökosystemer.
Updates iwwer d’Ewechhuele vu béiswëlleg Versiounen
Versiounen 1.82.7 an 1.82.8 goufen aus PyPI pensionnéierte nodeems de Problem identifizéiert gouf. Mantenedores vum Projet huet Sécherheetsalarmer a Leedung fir Benotzer erausginn. D’Sécherheetsgemeinschaft follegt de Fall fir méiglech Auswierkungen op Repositories ze kartéieren déi transitiv vu LiteLLM ofhängeg sinn.
Fuerscher analyséieren weider Echantillon vun der Malware fir nei Varianten oder zousätzlech Verhalen z’identifizéieren. Usuários déi déi betraff Versiounen installéiert hunn, mussen all Umeldungsinformatiounen, déi op hire Systemer präsent sinn, als potenziell ausgesat behandelen.