Kelompok peretas yang dikenal sebagai TeamPCP mengkompromikan paket LiteLLM di repositori PyPI dan menerbitkan versi berbahaya dalam beberapa hari terakhir. Pustaka Python, yang bertindak sebagai pemersatu akses ke beberapa penyedia model bahasa besar melalui satu API, telah mencatat lebih dari 95 juta unduhan dalam sebulan terakhir dan melampaui 3,4 juta unduhan setiap hari. Versi 1.82.7 dan 1.82.8 berisi kode berbahaya yang mampu mengambil kredensial sensitif dan memasang mekanisme persistensi di lingkungan yang terpengaruh. Especialistas mengidentifikasi insiden tersebut pada 24 Maret 2026, dan versi yang disusupi segera dihapus dari PyPI.
LiteLLM berfungsi sebagai pintu gerbang umum untuk mengintegrasikan layanan kecerdasan buatan ke dalam proyek pembangunan. Impor Qualquer dari modul yang terpengaruh memicu muatan tersembunyi. Endor Labs merinci bahwa kode berbahaya disuntikkan ke file tertentu dalam paket, termasuk proxy_server.py dan file .pth yang secara otomatis dijalankan saat memulai penerjemah Python.
- Verifikasi langsung penginstalan versi 1.82.7 atau 1.82.8 di lingkungan lokal dan alur CI/CD.
- Rotasi mendesak dari semua kunci SSH, token cloud, dan rahasia yang terbuka.
- Pemeriksaan artefak seperti file .pth yang mencurigakan dan layanan systemd yang disamarkan.
Mekanisme injeksi kode berbahaya
Aktor jahat memasukkan payload berkode base64 ke dalam file litellm/proxy/proxy_server.py dalam versi yang disusupi. Payload Essa didekodekan dan dieksekusi setiap kali modul diimpor. Versi 1.82.8 juga menambahkan file litellm_init.pth yang menjamin eksekusi otomatis setiap kali lingkungan Python dimulai, memperluas cakupan serangan bahkan tanpa penggunaan perpustakaan secara langsung.
Muatannya mengikuti urutan tiga langkah yang ditentukan dengan baik. Primeiro, melakukan pengenalan sistem dengan perintah seperti hostname, whoami, uname dan ip addr. Kemudian mengumpulkan kredensial lain-lain, termasuk kunci SSH, konfigurasi cloud untuk AWS, GCP, dan Azure, token layanan Kubernetes, file .env, kredensial database, kunci TLS pribadi, dan data dompet mata uang kripto. Terakhir, ia mencoba pergerakan lateral pada klaster Kubernetes dengan menerapkan pod yang memiliki hak istimewa pada setiap node.
Detail kredensial dan pencurian rahasia
Grup infostealer varian TeamPCP Cloud Stealer mengumpulkan data ke dalam file tpcp.tar.gz terenkripsi. File Esse dikirim ke infrastruktur yang dikendalikan penyerang di domain models.litellm.cloud. Layanan systemd yang menyamar sebagai “Layanan Telemetria Sistema” memelihara kontak berkala dengan checkmarx.zone untuk mengunduh muatan tambahan dan memastikan persistensi.
Pengembang yang menggunakan LiteLLM dalam saluran AI atau aplikasi yang mengakses beberapa penyedia LLM menghadapi peningkatan risiko paparan. Serangan ini mewarisi kesamaan teknis dengan kompromi sebelumnya pada pemindai Aqua Security Trivy, yang juga dikaitkan dengan kelompok yang sama. Relatos menunjukkan bahwa ratusan ribu ekstraksi data telah terjadi, meskipun jumlah pastinya masih dalam verifikasi independen.
Serangan sebelumnya oleh kelompok TeamPCP
TeamPCP telah melaksanakan proyek Trivy dan komponen terkait Aqua Security dalam waktu dekat. Rangkaian insiden Essa menunjukkan fokus pada alat yang diadopsi secara luas dalam rantai pengembangan perangkat lunak, terutama yang terintegrasi dengan aliran CI/CD dan lingkungan cloud-native. Kelompok ini juga menjelajahi cluster Kubernetes dengan skrip yang membedakan perilaku berdasarkan wilayah geografis.
Persistensi yang diinstal mencakup pintu belakang systemd yang secara otomatis mengambil biner tambahan. Analistas telah mengamati upaya untuk sepenuhnya menghapus sistem dalam konfigurasi tertentu yang terdeteksi, sementara dalam kasus lain fokusnya tetap pada pengumpulan rahasia secara diam-diam.
Langkah-langkah yang direkomendasikan untuk organisasi yang terkena dampak
Organisasi harus memeriksa log instalasi dan segera meningkatkan ke versi 1.82.6 atau lebih tinggi, yang dianggap bersih. Memutar semua rahasia dan token yang ditemukan pada perangkat yang berpotensi terkena dampak adalah tindakan prioritas untuk membatasi kerusakan. Busca untuk file mencurigakan seperti ~/.config/sysmon/sysmon.py, /tmp/pglog, dan pod jahat di namespace sistem kube membantu mengidentifikasi sisa kompromi.
Memantau lalu lintas keluar ke domain yang terkait dengan penyerang melengkapi tindakan awal. Especialistas memperkuat bahwa rotasi kredensial reguler secara signifikan mengurangi risiko serangan berjenjang dalam rantai pasokan perangkat lunak. Equipes personel keamanan perlu memeriksa lingkungan Kubernetes untuk pergerakan lateral yang tidak sah.
Analisis teknis muatan yang persisten
Pintu belakang yang diinstal sebagai layanan pengguna systemd menjaga komunikasi dengan server jarak jauh untuk menerima instruksi lebih lanjut. Arsitektur Essa memungkinkan penyerang memperluas kendali atas sistem yang terinfeksi seiring waktu. Mekanisme eksfiltrasi mengenkripsi data sebelum dikirim, sehingga sulit dideteksi saat transit.
Pengembang yang mempertahankan dependensi Python di lingkungan atau kontainer bersama harus mengaudit riwayat instalasi terkini. Popularitas LiteLLM dalam proyek kecerdasan buatan meningkatkan potensi jangkauan insiden tersebut dalam ekosistem pembangunan modern.
Pembaruan tentang penghapusan versi berbahaya
Versi 1.82.7 dan 1.82.8 dihentikan dari PyPI setelah masalah teridentifikasi. Mantenedores proyek mengeluarkan peringatan keamanan dan panduan untuk pengguna. Komunitas keamanan mengikuti kasus ini untuk memetakan kemungkinan dampak pada repositori yang secara transitif bergantung pada LiteLLM.
Para peneliti terus menganalisis sampel malware untuk mengidentifikasi varian baru atau perilaku tambahan. Usuários yang menginstal versi yang terpengaruh harus memperlakukan semua kredensial yang ada di sistem mereka sebagai berpotensi terekspos.
