Kumpulan penggodam yang dikenali sebagai TeamPCP telah menjejaskan pakej LiteLLM dalam repositori PyPI dan menerbitkan versi berniat jahat dalam beberapa hari kebelakangan ini. Pustaka Python, yang bertindak sebagai penyatuan akses kepada beberapa pembekal model bahasa yang besar melalui satu API, telah merekodkan lebih daripada 95 juta muat turun pada bulan lepas dan melebihi 3.4 juta muat turun harian. Versi 1.82.7 dan 1.82.8 mengandungi kod hasad yang mampu menuai bukti kelayakan sensitif dan memasang mekanisme kegigihan dalam persekitaran yang terjejas. Especialistas mengenal pasti kejadian itu pada 24 Mac 2026 dan versi yang terjejas telah dialih keluar dengan cepat daripada PyPI.
LiteLLM berfungsi sebagai pintu masuk biasa untuk menyepadukan perkhidmatan kecerdasan buatan ke dalam projek pembangunan. Import Qualquer modul yang terjejas mencetuskan muatan tersembunyi. Endor Labs memperincikan bahawa kod hasad disuntik ke dalam fail tertentu dalam pakej, termasuk proxy_server.py dan fail .pth yang dijalankan secara automatik apabila memulakan penterjemah Python.
- Pengesahan segera pemasangan versi 1.82.7 atau 1.82.8 dalam persekitaran di premis dan saluran paip CI/CD.
- Putaran segera semua kunci SSH, token awan dan rahsia terdedah.
- Pemeriksaan artifak seperti fail .pth yang mencurigakan dan perkhidmatan systemd yang menyamar.
Mekanisme suntikan kod berniat jahat
Pelakon berniat jahat memasukkan muatan berkod base64 ke dalam fail litellm/proxy/proxy_server.py dalam versi yang terjejas. Muatan Essa dinyahkod dan dilaksanakan setiap kali modul diimport. Versi 1.82.8 juga menambah fail litellm_init.pth yang menjamin pelaksanaan automatik apabila persekitaran Python dimulakan, memperluaskan skop serangan walaupun tanpa menggunakan perpustakaan secara langsung.
Muatan mengikut urutan tiga langkah yang jelas. Primeiro, melaksanakan pengecaman sistem dengan arahan seperti nama hos, whoami, uname dan ip addr. Ia kemudian mengumpul bukti kelayakan pelbagai, termasuk kunci SSH, konfigurasi awan untuk AWS, GCP dan Azure, token perkhidmatan Kubernetes, fail .env, bukti kelayakan pangkalan data, kunci TLS peribadi dan data dompet mata wang kripto. Akhirnya, ia mencuba pergerakan sisi pada kelompok Kubernetes dengan menggunakan pod istimewa pada setiap nod.
Butiran kelayakan dan kecurian rahsia
Kumpulan infostealer varian TeamPCP Cloud Stealer mengumpul data ke dalam fail tpcp.tar.gz yang disulitkan. Fail Esse dihantar ke infrastruktur dikawal penyerang dalam domain models.litelm.cloud. Perkhidmatan systemd yang menyamar sebagai “Perkhidmatan Telemetria Sistema” mengekalkan hubungan berkala dengan checkmarx.zone untuk memuat turun muatan tambahan dan memastikan kegigihan.
Pembangun yang menggunakan LiteLLM dalam saluran paip AI atau aplikasi yang mengakses berbilang penyedia LLM menghadapi risiko pendedahan yang tinggi. Serangan itu mewarisi persamaan teknikal dengan kompromi pengimbas Trivy Aqua Security sebelumnya, juga dikaitkan dengan kumpulan yang sama. Relatos menunjukkan bahawa ratusan ribu pengekstrakan data telah berlaku, walaupun nombor tepat kekal di bawah pengesahan bebas.
Serangan sebelumnya oleh kumpulan TeamPCP
TeamPCP telah pun melaksanakan projek Trivy dan komponen berkaitan Aqua Security dalam masa terdekat. Urutan insiden Essa menunjukkan tumpuan pada alatan yang digunakan secara meluas dalam rantaian pembangunan perisian, terutamanya yang disepadukan dengan aliran CI/CD dan persekitaran asli awan. Kumpulan itu juga meneroka kelompok Kubernetes dengan skrip yang membezakan gelagat mengikut wilayah geografi.
Kegigihan yang dipasang termasuk systemd backdoor yang secara automatik mengambil binari tambahan. Analistas telah memerhatikan percubaan untuk memadam sepenuhnya sistem dalam konfigurasi yang dikesan khusus, manakala dalam kes lain tumpuan kekal pada pengumpulan rahsia senyap.
Langkah-langkah yang disyorkan untuk organisasi yang terjejas
Organisasi harus menyemak log pemasangan dan segera menaik taraf kepada versi 1.82.6 atau lebih tinggi, yang dianggap bersih. Memutar semua rahsia dan token yang ditemui pada peranti yang berpotensi terjejas ialah tindakan keutamaan untuk mengehadkan kerosakan. Busca untuk fail yang mencurigakan seperti ~/.config/sysmon/sysmon.py, /tmp/pglog dan pod penyangak dalam ruang nama sistem kube membantu mengenal pasti baki kompromi.
Memantau trafik keluar ke domain yang dikaitkan dengan penyerang melengkapkan tindakan awal. Especialistas mengukuhkan bahawa putaran kelayakan biasa mengurangkan risiko serangan berlatarkan dalam rantaian bekalan perisian. Kakitangan keselamatan Equipes perlu memeriksa persekitaran Kubernetes untuk pergerakan sisi yang tidak dibenarkan.
Analisis teknikal muatan berterusan
Pintu belakang yang dipasang sebagai perkhidmatan pengguna systemd mengekalkan komunikasi dengan pelayan jauh untuk menerima arahan selanjutnya. Seni bina Essa membolehkan penyerang meluaskan kawalan ke atas sistem yang dijangkiti dari semasa ke semasa. Mekanisme exfiltration menyulitkan data sebelum dihantar, menjadikannya sukar untuk dikesan dalam transit.
Pembangun yang mengekalkan kebergantungan Python dalam persekitaran atau bekas kongsi harus mengaudit sejarah pemasangan terbaharu. Populariti LiteLLM dalam projek kecerdasan buatan meningkatkan potensi jangkauan kejadian dalam ekosistem pembangunan moden.
Kemas kini mengenai penyingkiran versi berniat jahat
Versi 1.82.7 dan 1.82.8 telah dihentikan daripada PyPI selepas isu itu dikenal pasti. Mantenedores projek mengeluarkan amaran dan panduan keselamatan untuk pengguna. Komuniti keselamatan mengikuti kes ini untuk memetakan kemungkinan kesan pada repositori yang bergantung secara transitif pada LiteLLM.
Penyelidik terus menganalisis sampel perisian hasad untuk mengenal pasti varian baharu atau gelagat tambahan. Usuários yang memasang versi yang terjejas perlu menganggap semua bukti kelayakan yang ada pada sistem mereka sebagai berpotensi terdedah.
