Hakerska grupa poznata kao TeamPCP kompromitovala je LiteLLM paket u PyPI repozitorijumu i objavila zlonamerne verzije poslednjih dana. Biblioteka Python, koja djeluje kao objedinjavač pristupa nekoliko velikih provajdera jezičkih modela putem jednog API-ja, zabilježila je više od 95 miliona preuzimanja u posljednjih mjesec dana i premašuje 3,4 miliona preuzimanja dnevno. Verzije 1.82.7 i 1.82.8 sadržavale su zlonamjerni kod koji je mogao prikupiti osjetljive vjerodajnice i instalirati mehanizme postojanosti u pogođenim okruženjima. Especialistas je identifikovao incident 24. marta 2026. godine, a kompromitovane verzije su brzo uklonjene iz PyPI.
LiteLLM služi kao zajednički pristupnik za integraciju usluga umjetne inteligencije u razvojne projekte. Qualquer uvoz zahvaćenog modula je pokrenuo skriveno opterećenje. Endor Labs je detaljno naveo da je zlonamjerni kod ubačen u određene datoteke unutar paketa, uključujući proxy_server.py i .pth datoteku koja se automatski pokreće kada se pokrene Python interpreter.
- Neposredna verifikacija instalacija verzija 1.82.7 ili 1.82.8 u lokalnim okruženjima i CI/CD cjevovodima.
- Hitna rotacija svih izloženih SSH ključeva, tokena u oblaku i tajni.
- Inspekcija artefakata kao što su sumnjive .pth datoteke i prikrivene sistemske usluge.
Mehanizam ubrizgavanja zlonamjernog koda
Zlonamjerni akteri su umetnuli base64-kodirani korisni teret u datoteku litellm/proxy/proxy_server.py u kompromitovanim verzijama. Essa korisni teret se dekodira i izvršava svaki put kada se modul uvozi. Verzija 1.82.8 je također dodala datoteku litellm_init.pth koja garantuje automatsko izvršavanje kad god se pokrene Python okruženje, proširujući opseg napada čak i bez direktne upotrebe biblioteke.
Korisni teret prati dobro definisanu sekvencu od tri koraka. Primeiro, vrši prepoznavanje sistema sa komandama kao što su ime hosta, whoami, uname i ip adresa. Zatim prikuplja razne vjerodajnice, uključujući SSH ključeve, konfiguracije oblaka za AWS, GCP i Azure, Kubernetes servisne tokene, .env datoteke, vjerodajnice baze podataka, privatne TLS ključeve i podatke novčanika za kriptovalute. Konačno, pokušava bočno pomicanje na Kubernetes klasterima tako što postavlja privilegirane podove na svaki čvor.
Pojedinosti o krađi akreditiva i tajnim podacima
TeamPCP Cloud Stealer varijanta infostealer grupe prikupila je podatke u šifrovanu datoteku tpcp.tar.gz. Esse datoteka se šalje u infrastrukturu koju kontrolira napadač u domenu models.litellm.cloud. Systemd usluga prerušena kao “Telemetria Sistema Service” održava periodični kontakt sa checkmarx.zone da preuzme dodatne korisne podatke i osigura postojanost.
Programeri koji koriste LiteLLM u AI cjevovodima ili aplikacijama koje pristupaju više LLM provajdera suočavaju se s povećanim rizikom od izloženosti. Napad nasljeđuje tehničke sličnosti s prethodnim kompromisom Trivy skenera Aqua Security, koji se također pripisuje istoj grupi. Relatos ukazuje da je došlo do stotina hiljada ekstrakcija podataka, iako tačni brojevi ostaju pod nezavisnom provjerom.
Prethodni napadi grupe TeamPCP
TeamPCP je već angažovao Trivy projekat i povezane komponente Aqua Security u bliskoj budućnosti. Essa niz incidenata pokazuje fokus na alate široko prihvaćene u lancu razvoja softvera, posebno na one koji su integrisani sa CI/CD tokovima i okruženjima koja su izvorna u oblaku. Grupa je takođe istraživala Kubernetes klastere sa skriptama koje razlikuju ponašanja prema geografskom regionu.
Instalirana postojanost uključuje backdoor systemd koji automatski preuzima dodatne binarne datoteke. Analistas su uočili pokušaje potpunog brisanja sistema u određenim otkrivenim konfiguracijama, dok je u drugim slučajevima fokus i dalje na tihom prikupljanju tajni.
Preporučene mjere za pogođene organizacije
Organizacije bi trebale provjeriti instalacijske zapise i odmah izvršiti nadogradnju na verziju 1.82.6 ili noviju, što se smatra čistom. Rotiranje svih tajni i tokena pronađenih na potencijalno pogođenim uređajima je prioritetna akcija za ograničavanje štete. Busca za sumnjive fajlove kao što su ~/.config/sysmon/sysmon.py, /tmp/pglog i lažne podove u imenskom prostoru kube-sistema pomaže u identifikaciji preostalih kompromisa.
Praćenje odlaznog saobraćaja na domene povezane sa napadačima dopunjuje početne akcije. Especialistas pojačavaju da redovna rotacija akreditiva značajno smanjuje rizik od kaskadnih napada u lancu nabavke softvera. Osoblje sigurnosti Equipes treba da pregleda Kubernetes okruženja za neovlašćeno bočno kretanje.
Trajna tehnička analiza nosivosti
Backdoor instaliran kao systemd korisnički servis održava komunikaciju sa udaljenim serverom radi primanja daljnjih instrukcija. Arhitektura Essa dozvoljava napadačima da prošire kontrolu nad zaraženim sistemima tokom vremena. Mehanizam eksfiltracije šifrira podatke prije slanja, što otežava otkrivanje u tranzitu.
Programeri koji održavaju Python zavisnosti u dijeljenim okruženjima ili kontejnerima trebali bi revidirati nedavnu historiju instalacije. Popularnost LiteLLM-a u projektima umjetne inteligencije povećava potencijalni domet incidenta u modernim razvojnim ekosistemima.
Ažuriranja o uklanjanju zlonamjernih verzija
Verzije 1.82.7 i 1.82.8 su povučene iz PyPI nakon što je problem identificiran. Mantenedores projekta izdao je sigurnosna upozorenja i upute za korisnike. Sigurnosna zajednica prati slučaj kako bi mapirala moguće uticaje na spremišta koja tranzitivno zavise od LiteLLM-a.
Istraživači nastavljaju analizirati uzorke zlonamjernog softvera kako bi identificirali nove varijante ili dodatna ponašanja. Usuários koji je instalirao zahvaćene verzije treba da tretira sve vjerodajnice prisutne na njihovim sistemima kao potencijalno izložene.