Tölvuþrjótahópurinn þekktur sem TeamPCP stefndi LiteLLM pakkanum í PyPI geymslunni og birti skaðlegar útgáfur undanfarna daga. Python bókasafnið, sem virkar sem sameining aðgangs að nokkrum stórum tungumálamódelveitum í gegnum eitt forritaskil, hefur skráð meira en 95 milljónir niðurhala á síðasta mánuði og farið yfir 3,4 milljónir daglega niðurhala. Útgáfa 1.82.7 og 1.82.8 innihéldu skaðlegan kóða sem getur safnað viðkvæmum skilríkjum og sett upp þrautseigjubúnað í umhverfi sem hefur áhrif. Especialistas bar kennsl á atvikið 24. mars 2026 og þær útgáfur sem hætt var við voru fljótt fjarlægðar úr PyPI.
LiteLLM þjónar sem sameiginleg hlið til að samþætta gervigreindarþjónustu í þróunarverkefni. Qualquer innflutningur á viðkomandi einingu kveikti á falinni hleðslu. Endor Labs lýsti því yfir að illgjarn kóða var sprautað inn í sérstakar skrár innan pakkans, þar á meðal proxy_server.py og .pth skrá sem keyrir sjálfkrafa þegar Python túlkurinn er ræstur.
- Tafarlaus sannprófun á uppsetningum á útgáfum 1.82.7 eða 1.82.8 í umhverfi á staðnum og CI/CD leiðslur.
- Brýn snúningur á öllum óvarnum SSH lyklum, skýjatáknum og leyndarmálum.
- Skoðun á gripum eins og grunsamlegum .pth skrám og dulbúnum kerfisþjónustum.
Innspýting kerfis fyrir illgjarn kóða
Illgjarnir leikarar settu base64-kóðaða hleðsluna inn í litellm/proxy/proxy_server.py skrána í þeim útgáfum sem voru í hættu. Essa hleðsla er afkóðuð og keyrð í hvert skipti sem einingin er flutt inn. Útgáfa 1.82.8 bætti einnig við litellm_init.pth skrá sem tryggir sjálfvirka framkvæmd þegar Python umhverfið er ræst og stækkar umfang árásarinnar jafnvel án beinnar notkunar á bókasafninu.
Burðargetan fylgir vel skilgreindri þriggja þrepa röð. Primeiro, framkvæmir kerfisþekkingu með skipunum eins og hostname, whoami, uname og ip adr. Það safnar síðan ýmsum skilríkjum, þar á meðal SSH lyklum, skýjastillingum fyrir AWS, GCP og Azure, Kubernetes þjónustutákn, .env skrár, gagnagrunnsskilríki, einka TLS lykla og dulritunargjaldmiðils veskisgögn. Að lokum reynir það hliðarhreyfingu á Kubernetes þyrpingum með því að dreifa forréttindabelgjum á hvern hnút.
Upplýsingar um persónuskilríki og leynilega þjófnað
TeamPCP Cloud Stealer afbrigði infostealer hópar söfnuðu gögnum í dulkóðaða tpcp.tar.gz skrá. Esse skrá er send til árásarstýrðra innviða í léninu models.litellm.cloud. Kerfisþjónusta dulbúin sem „Telemetria Sistema þjónusta“ heldur reglubundnu sambandi við checkmarx.zone til að hlaða niður viðbótarhleðslu og tryggja þrautseigju.
Hönnuðir sem nota LiteLLM í gervigreindarleiðslum eða forritum sem fá aðgang að mörgum LLM veitendum standa frammi fyrir aukinni hættu á útsetningu. Árásin erfir tæknileg líkindi við fyrri málamiðlun Trivy Aqua Security skanni, sem einnig er kennd við sama hóp. Relatos gefa til kynna að hundruð þúsunda gagnaútdráttar hafi átt sér stað, þó að nákvæmar tölur séu enn undir óháðri sannprófun.
Fyrri árásir frá TeamPCP hópnum
TeamPCP hafði þegar framið Trivy verkefnið og tengda þætti Aqua Security í náinni framtíð. Essa röð atvika sýnir áherslu á verkfæri sem eru notuð víða í hugbúnaðarþróunarkeðjunni, sérstaklega þau sem eru samþætt CI/CD flæði og skýjaætt umhverfi. Hópurinn kannaði einnig Kubernetes klasa með forskriftum sem aðgreina hegðun eftir landsvæðum.
Uppsetta þrautseigjan felur í sér kerfisbundna bakdyr sem sækir sjálfkrafa fleiri tvístirni. Analistas hafa fylgst með tilraunum til að þurrka kerfi algjörlega í tilteknum uppgötvuðum stillingum, en í öðrum tilfellum er áherslan áfram á þögul söfnun leyndarmála.
Ráðlagðar ráðstafanir fyrir viðkomandi stofnanir
Stofnanir ættu að athuga uppsetningarskrár og uppfæra strax í útgáfu 1.82.6 eða nýrri, sem er talin hrein. Að snúa öllum leyndarmálum og táknum sem finnast á tækjum sem hugsanlega verða fyrir áhrifum er forgangsaðgerð til að takmarka skemmdir. Busca fyrir grunsamlegar skrár eins og ~/.config/sysmon/sysmon.py, /tmp/pglog og fantur fræbelgur í kube-kerfi nafnarýminu hjálpar til við að bera kennsl á eftirstöðvar málamiðlana.
Vöktun á útleið um lén sem tengjast árásarmönnum er viðbót við fyrstu aðgerðir. Especialistas styrkir að reglulegur snúningur skilríkja dregur verulega úr hættunni á hröðum árásum í aðfangakeðju hugbúnaðarins. Equipes öryggisstarfsmenn þurfa að skoða Kubernetes umhverfi fyrir óheimilar hliðarhreyfingar.
Viðvarandi tæknigreining á farmálagi
Bakhurðin uppsett sem kerfisbundin notendaþjónusta heldur samskiptum við ytri netþjón til að fá frekari leiðbeiningar. Essa arkitektúr gerir árásarmönnum kleift að auka stjórn á sýktum kerfum með tímanum. Úthreinsunarbúnaðurinn dulkóðar gögn áður en þau eru send, sem gerir það erfitt að greina þau í flutningi.
Hönnuðir sem viðhalda Python ósjálfstæði í sameiginlegu umhverfi eða ílátum ættu að endurskoða nýlega uppsetningarferil. Vinsældir LiteLLM í gervigreindarverkefnum auka möguleika atviksins í nútímaþróunarvistkerfum.
Uppfærslur á að fjarlægja skaðlegar útgáfur
Útgáfur 1.82.7 og 1.82.8 voru teknar af PyPI eftir að vandamálið var greint. Mantenedores verkefnisins gaf út öryggisviðvaranir og leiðbeiningar fyrir notendur. Öryggissamfélagið fylgist með málinu til að kortleggja möguleg áhrif á geymslur sem eru háðar LiteLLM tímabundið.
Vísindamenn halda áfram að greina sýnishorn af spilliforritinu til að bera kennsl á ný afbrigði eða viðbótarhegðun. Usuários sem setti upp viðkomandi útgáfur þurfa að meðhöndla öll skilríki sem eru til staðar á kerfum sínum sem hugsanlega afhjúpuð.