Hackergruppen kendt som TeamPCP kompromitterede LiteLLM-pakken i PyPI-lageret og offentliggjorde ondsindede versioner i de seneste dage. Python-biblioteket, der fungerer som en forener af adgang til flere store sprogmodeludbydere gennem en enkelt API, har registreret mere end 95 millioner downloads i den sidste måned og overstiger 3,4 millioner daglige downloads. Version 1.82.7 og 1.82.8 indeholdt ondsindet kode, der var i stand til at indsamle følsomme legitimationsoplysninger og installere persistensmekanismer i berørte miljøer. Especialistas identificerede hændelsen den 24. marts 2026, og de kompromitterede versioner blev hurtigt fjernet fra PyPI.
LiteLLM fungerer som en fælles gateway til at integrere kunstig intelligens-tjenester i udviklingsprojekter. Qualquer import af det berørte modul udløste den skjulte nyttelast. Endor Labs detaljerede, at den ondsindede kode blev injiceret i specifikke filer i pakken, inklusive proxy_server.py og en .pth-fil, der automatisk kører, når Python-fortolkeren startes.
- Øjeblikkelig verifikation af installationer af version 1.82.7 eller 1.82.8 i lokale miljøer og CI/CD-pipelines.
- Haster rotation af alle udsatte SSH-nøgler, sky-tokens og hemmeligheder.
- Inspektion af artefakter såsom mistænkelige .pth-filer og skjulte systemtjenester.
Mekanisme til indsprøjtning af ondsindet kode
Ondsindede aktører indsatte den base64-kodede nyttelast i filen litellm/proxy/proxy_server.py i de kompromitterede versioner. Essa nyttelast afkodes og udføres hver gang modulet importeres. Version 1.82.8 tilføjede også en litellm_init.pth-fil, der garanterer automatisk udførelse, når Python-miljøet startes, hvilket udvider omfanget af angrebet selv uden direkte brug af biblioteket.
Nyttelasten følger en veldefineret tre-trins sekvens. Primeiro, udfører systemgenkendelse med kommandoer som hostname, whoami, uname og ip-adr. Derefter indsamler den diverse legitimationsoplysninger, herunder SSH-nøgler, cloud-konfigurationer til AWS, GCP og Azure, Kubernetes-tjenestetokens, .env-filer, databaselegitimationsoplysninger, private TLS-nøgler og cryptocurrency-pungdata. Endelig forsøger den lateral bevægelse på Kubernetes-klynger ved at installere privilegerede pods på hver node.
Legitimationsoplysninger og hemmelige tyveridetaljer
TeamPCP Cloud Stealer variant infostealer grupperer indsamlede data i en krypteret tpcp.tar.gz fil. Esse-fil sendes til angriberstyret infrastruktur i domænet models.litellm.cloud. En systemd service forklædt som “Telemetria Sistema Service” opretholder periodisk kontakt med checkmarx.zone for at downloade yderligere nyttelast og sikre vedholdenhed.
Udviklere, der bruger LiteLLM i AI-pipelines eller applikationer, der får adgang til flere LLM-udbydere, står over for forhøjet risiko for eksponering. Angrebet arver tekniske ligheder med det tidligere kompromis med Trivy’s Aqua Security scanner, også tilskrevet den samme gruppe. Relatos indikerer, at hundredtusindvis af dataudtræk har fundet sted, selvom nøjagtige tal fortsat er under uafhængig verifikation.
Tidligere angreb fra TeamPCP-gruppen
TeamPCP havde allerede forpligtet Trivy-projektet og relaterede komponenter af Aqua Security i den nærmeste fremtid. Essa sekvens af hændelser demonstrerer fokus på værktøjer, der er bredt anvendt i softwareudviklingskæden, især dem, der er integreret med CI/CD-flows og cloud-native miljøer. Gruppen udforskede også Kubernetes-klynger med scripts, der adskiller adfærd efter geografisk område.
Den installerede persistens inkluderer systemd bagdør, der automatisk henter yderligere binære filer. Analistas har observeret forsøg på fuldstændig at slette systemer i specifikke detekterede konfigurationer, mens fokus i andre tilfælde forbliver på den tavse indsamling af hemmeligheder.
Anbefalede foranstaltninger for berørte organisationer
Organisationer bør tjekke installationslogfiler og straks opgradere til version 1.82.6 eller nyere, som anses for at være ren. Rotation af alle hemmeligheder og tokens fundet på potentielt berørte enheder er en prioriteret handling for at begrænse skaden. Busca til mistænkelige filer som ~/.config/sysmon/sysmon.py, /tmp/pglog og useriøse pods i kube-systemets navneområde hjælper med at identificere resterende kompromiser.
Overvågning af udgående trafik til domæner, der er forbundet med angribere, supplerer de indledende handlinger. Especialistas forstærker, at regelmæssig rotation af legitimationsoplysninger reducerer risikoen for cascading angreb i softwareforsyningskæden markant. Equipes sikkerhedspersonale skal inspicere Kubernetes miljøer for uautoriseret lateral bevægelse.
Vedvarende nyttelast teknisk analyse
Bagdøren installeret som systemd brugerservice opretholder kommunikationen med fjernserveren for at modtage yderligere instruktioner. Essa-arkitekturen giver angribere mulighed for at udvide kontrollen over inficerede systemer over tid. Eksfiltrationsmekanismen krypterer data før afsendelse, hvilket gør det svært at opdage under transit.
Udviklere, der opretholder Python-afhængigheder i delte miljøer eller containere, bør revidere den seneste installationshistorik. Populariteten af LiteLLM i kunstig intelligens-projekter øger hændelsens potentielle rækkevidde i moderne udviklingsøkosystemer.
Opdateringer om fjernelse af ondsindede versioner
Version 1.82.7 og 1.82.8 blev trukket tilbage fra PyPI, efter at problemet blev identificeret. Mantenedores af projektet udstedte sikkerhedsadvarsler og vejledning til brugere. Sikkerhedsfællesskabet følger sagen for at kortlægge mulige påvirkninger af repositories, der transitivt afhænger af LiteLLM.
Forskere fortsætter med at analysere prøver af malware for at identificere nye varianter eller yderligere adfærd. Usuários, der har installeret de berørte versioner, skal behandle alle legitimationsoplysninger på deres systemer som potentielt eksponerede.
