Hackergruppen kjent som TeamPCP kompromitterte LiteLLM-pakken i PyPI-depotet og publiserte ondsinnede versjoner de siste dagene. Python-biblioteket, som fungerer som en forener av tilgang til flere store språkmodellleverandører gjennom en enkelt API, har registrert mer enn 95 millioner nedlastinger den siste måneden og overstiger 3,4 millioner daglige nedlastinger. Versjon 1.82.7 og 1.82.8 inneholdt ondsinnet kode som var i stand til å samle inn sensitive legitimasjoner og installere utholdenhetsmekanismer i berørte miljøer. Especialistas identifiserte hendelsen 24. mars 2026, og de kompromitterte versjonene ble raskt fjernet fra PyPI.
LiteLLM fungerer som en felles inngangsport for integrering av kunstig intelligens-tjenester i utviklingsprosjekter. Qualquer import av den berørte modulen utløste den skjulte nyttelasten. Endor Labs beskrev at den skadelige koden ble injisert i spesifikke filer i pakken, inkludert proxy_server.py og en .pth-fil som kjører automatisk når Python-tolken startes.
- Umiddelbar verifisering av installasjoner av versjon 1.82.7 eller 1.82.8 i lokale miljøer og CI/CD-rørledninger.
- Haster rotasjon av alle synlige SSH-nøkler, skytokens og hemmeligheter.
- Inspeksjon av artefakter som mistenkelige .pth-filer og forkledde systemtjenester.
Skadelig kodeinjeksjonsmekanisme
Ondsinnede aktører satte inn den base64-kodede nyttelasten i filen litellm/proxy/proxy_server.py i de kompromitterte versjonene. Essa nyttelast dekodes og kjøres hver gang modulen importeres. Versjon 1.82.8 la også til en litellm_init.pth-fil som garanterer automatisk kjøring hver gang Python-miljøet startes, og utvider omfanget av angrepet selv uten direkte bruk av biblioteket.
Nyttelasten følger en veldefinert tre-trinns sekvens. Primeiro, utfører systemgjenkjenning med kommandoer som vertsnavn, whoami, uname og ip-adr. Deretter samler den inn diverse legitimasjon, inkludert SSH-nøkler, skykonfigurasjoner for AWS, GCP og Azure, Kubernetes tjenestetokens, .env-filer, databaselegitimasjon, private TLS-nøkler og kryptovaluta-lommebokdata. Til slutt prøver den sideveis bevegelse på Kubernetes-klynger ved å distribuere privilegerte pods på hver node.
Legitimasjon og hemmelige tyveridetaljer
TeamPCP Cloud Stealer-varianten infostealer-grupper samlet inn data til en kryptert tpcp.tar.gz-fil. Esse-filen sendes til angriperkontrollert infrastruktur i domenet models.litellm.cloud. En systemtjeneste forkledd som “Telemetria Sistema Service” opprettholder periodisk kontakt med checkmarx.zone for å laste ned ytterligere nyttelast og sikre utholdenhet.
Utviklere som bruker LiteLLM i AI-rørledninger eller applikasjoner som har tilgang til flere LLM-leverandører, står overfor økt risiko for eksponering. Angrepet arver tekniske likheter med det forrige kompromisset til Trivy sin Aqua Security skanner, også tilskrevet den samme gruppen. Relatos indikerer at hundretusenvis av dataekstraksjoner har funnet sted, selv om nøyaktige tall fortsatt er under uavhengig verifisering.
Tidligere angrep fra TeamPCP-gruppen
TeamPCP hadde allerede forpliktet Trivy-prosjektet og relaterte komponenter til Aqua Security i nær fremtid. Essa sekvens av hendelser demonstrerer fokus på verktøy som er bredt tatt i bruk i programvareutviklingskjeden, spesielt de som er integrert med CI/CD-flyter og skybaserte miljøer. Gruppen utforsket også Kubernetes-klynger med skript som skiller atferd etter geografisk region.
Den installerte persistensen inkluderer systemd bakdør som automatisk henter ytterligere binærfiler. Analistas har observert forsøk på å fullstendig tørke systemer i spesifikke oppdagede konfigurasjoner, mens i andre tilfeller forblir fokuset på den tause samlingen av hemmeligheter.
Anbefalte tiltak for berørte organisasjoner
Organisasjoner bør sjekke installasjonslogger og umiddelbart oppgradere til versjon 1.82.6 eller høyere, som anses som ren. Rotering av alle hemmeligheter og tokens som finnes på potensielt berørte enheter er en prioritert handling for å begrense skade. Busca for mistenkelige filer som ~/.config/sysmon/sysmon.py, /tmp/pglog og useriøse pods i kube-systemets navneområde hjelper til med å identifisere gjenværende kompromisser.
Overvåking av utgående trafikk til domener knyttet til angripere utfyller innledende handlinger. Especialistas forsterker at regelmessig rotasjon av legitimasjon reduserer risikoen for kaskadeangrep i programvareforsyningskjeden betydelig. Equipes sikkerhetspersonell må inspisere Kubernetes-miljøer for uautorisert sideveis bevegelse.
Vedvarende nyttelast teknisk analyse
Bakdøren installert som systemd brukertjeneste opprettholder kommunikasjon med ekstern server for å motta ytterligere instruksjoner. Essa-arkitekturen lar angripere utvide kontrollen over infiserte systemer over tid. Eksfiltreringsmekanismen krypterer data før sending, noe som gjør det vanskelig å oppdage under overføring.
Utviklere som opprettholder Python-avhengigheter i delte miljøer eller containere, bør revidere nylig installasjonshistorikk. Populariteten til LiteLLM i kunstig intelligensprosjekter øker den potensielle rekkevidden av hendelsen i moderne utviklingsøkosystemer.
Oppdateringer for fjerning av ondsinnede versjoner
Versjon 1.82.7 og 1.82.8 ble trukket tilbake fra PyPI etter at problemet ble identifisert. Mantenedores av prosjektet utstedte sikkerhetsvarsler og veiledning for brukere. Sikkerhetsfellesskapet følger saken for å kartlegge mulige konsekvenser for depoter som transitivt er avhengige av LiteLLM.
Forskere fortsetter å analysere prøver av skadelig programvare for å identifisere nye varianter eller ytterligere atferd. Usuários som installerte de berørte versjonene, må behandle all legitimasjon som finnes på systemene deres som potensielt utsatt.