Cyfaddawdodd y grŵp haciwr a elwir yn TeamPCP y pecyn LiteLLM yn ystorfa PyPI a chyhoeddodd fersiynau maleisus yn ystod y dyddiau diwethaf. Mae llyfrgell Python, sy’n gweithredu fel unedwr mynediad i sawl darparwr model iaith mawr trwy un API, wedi cofnodi mwy na 95 miliwn o lawrlwythiadau yn ystod y mis diwethaf ac mae’n fwy na 3.4 miliwn o lawrlwythiadau dyddiol. Roedd fersiynau 1.82.7 a 1.82.8 yn cynnwys cod maleisus a oedd yn gallu cynaeafu nodweddion sensitif a gosod mecanweithiau dyfalbarhad mewn amgylcheddau yr effeithiwyd arnynt. Nododd Especialistas y digwyddiad ar Fawrth 24, 2026, a chafodd y fersiynau dan fygythiad eu tynnu’n gyflym o PyPI.
Mae LiteLLM yn borth cyffredin ar gyfer integreiddio gwasanaethau deallusrwydd artiffisial i brosiectau datblygu. Sbardunodd mewnforio Qualquer y modiwl yr effeithiwyd arno y llwyth tâl cudd. Manylodd Endor Labs bod y cod maleisus wedi’i chwistrellu i ffeiliau penodol o fewn y pecyn, gan gynnwys proxy_server.py a ffeil .pth sy’n rhedeg yn awtomatig wrth gychwyn y dehonglydd Python.
- Gwirio ar unwaith gosodiadau o fersiynau 1.82.7 neu 1.82.8 mewn amgylcheddau ar y safle a phiblinellau CI/CD.
- Cylchdroi brys o’r holl allweddi SSH agored, tocynnau cwmwl, a chyfrinachau.
- Archwilio arteffactau fel ffeiliau .pth amheus a gwasanaethau systemd cuddiedig.
Mecanwaith pigiad cod maleisus
Mewnosododd actorion maleisus y llwyth tâl wedi’i amgodio base64 yn y ffeil litellm/proxy/proxy_server.py yn y fersiynau dan fygythiad. Mae llwyth tâl Essa yn cael ei ddadgodio a’i weithredu bob tro y caiff y modiwl ei fewnforio. Ychwanegodd fersiwn 1.82.8 hefyd ffeil litellm_init.pth sy’n gwarantu gweithrediad awtomatig pryd bynnag y bydd amgylchedd Python yn cael ei gychwyn, gan ehangu cwmpas yr ymosodiad hyd yn oed heb ddefnydd uniongyrchol o’r llyfrgell.
Mae’r llwyth tâl yn dilyn dilyniant tri cham wedi’i ddiffinio’n dda. Primeiro, yn perfformio adnabyddiaeth system gyda gorchmynion fel enw gwesteiwr, whoami, uname ac ip addr. Yna mae’n casglu tystlythyrau amrywiol, gan gynnwys allweddi SSH, cyfluniadau cwmwl ar gyfer AWS, GCP, a Azure, tocynnau gwasanaeth Kubernetes, ffeiliau .env, tystlythyrau cronfa ddata, allweddi TLS preifat, a data waled cryptocurrency. Yn olaf, mae’n ceisio symudiad ochrol ar glystyrau Kubernetes trwy ddefnyddio codennau breintiedig ar bob nod.
Manylion lladrad credadwy a chyfrinachol
Casglodd grwpiau infostealer amrywiad TeamPCP Cloud Stealer ddata i ffeil tpcp.tar.gz wedi’i hamgryptio. Anfonir ffeil Esse at seilwaith a reolir gan ymosodwyr yn y parth models.litellm.cloud. Mae gwasanaeth systemd sydd wedi’i guddio fel “Gwasanaeth Telemetria Sistema” yn cadw cysylltiad cyfnodol â checkmarx.zone i lawrlwytho llwythi tâl ychwanegol a sicrhau dyfalbarhad.
Mae datblygwyr sy’n defnyddio LiteLLM mewn piblinellau AI neu gymwysiadau sy’n cyrchu sawl darparwr LLM yn wynebu risg uwch o ddod i gysylltiad. Mae’r ymosodiad yn etifeddu tebygrwydd technegol i gyfaddawd blaenorol sganiwr Aqua Security Trivy, sydd hefyd wedi’i briodoli i’r un grŵp. Mae Relatos yn nodi bod cannoedd o filoedd o echdynnu data wedi digwydd, er bod yr union niferoedd yn dal i gael eu dilysu’n annibynnol.
Ymosodiadau blaenorol gan y grŵp TeamPCP
Roedd TeamPCP eisoes wedi ymrwymo’r prosiect Trivy a chydrannau cysylltiedig Aqua Security yn y dyfodol agos. Mae dilyniant Essa o ddigwyddiadau yn dangos ffocws ar offer a fabwysiadwyd yn eang yn y gadwyn datblygu meddalwedd, yn enwedig y rhai sydd wedi’u hintegreiddio â llifau CI/CD ac amgylcheddau cwmwl-frodorol. Bu’r grŵp hefyd yn archwilio clystyrau Kubernetes gyda sgriptiau sy’n gwahaniaethu ymddygiadau yn ôl rhanbarth daearyddol.
Mae’r dyfalbarhad gosodedig yn cynnwys drws cefn systemd sy’n nôl binaries ychwanegol yn awtomatig. Mae Analistas wedi arsylwi ymdrechion i sychu systemau’n llwyr mewn ffurfweddiadau penodol a ganfuwyd, tra mewn achosion eraill mae’r ffocws yn parhau ar y casgliad tawel o gyfrinachau.
Mesurau a argymhellir ar gyfer sefydliadau yr effeithir arnynt
Dylai sefydliadau wirio logiau gosod ac uwchraddio ar unwaith i fersiwn 1.82.6 neu uwch, a ystyrir yn lân. Mae cylchdroi’r holl gyfrinachau a thocynnau a geir ar ddyfeisiau a allai gael eu heffeithio yn flaenoriaeth i gyfyngu ar ddifrod. Mae Busca ar gyfer ffeiliau amheus fel ~/.config/sysmon/sysmon.py, /tmp/pglog, a phodiau twyllodrus yn y gofod enw system kube yn helpu i nodi cyfaddawdau gweddilliol.
Mae monitro traffig allan i barthau sy’n gysylltiedig ag ymosodwyr yn ategu’r camau gweithredu cychwynnol. Mae Especialistas yn atgyfnerthu bod cylchdroi credential rheolaidd yn lleihau’n sylweddol y risg o ymosodiadau rhaeadru yn y gadwyn gyflenwi meddalwedd. Mae angen i bersonél diogelwch Equipes archwilio amgylcheddau Kubernetes ar gyfer symudiad ochrol anawdurdodedig.
Dadansoddiad technegol llwyth tâl parhaus
Mae’r drws cefn sydd wedi’i osod fel gwasanaeth defnyddiwr systemd yn cynnal cyfathrebu â gweinydd pell i dderbyn cyfarwyddiadau pellach. Mae pensaernïaeth Essa yn caniatáu i ymosodwyr ehangu rheolaeth dros systemau heintiedig dros amser. Mae’r mecanwaith all-hidlo yn amgryptio data cyn ei anfon, gan ei gwneud hi’n anodd ei ganfod wrth ei gludo.
Dylai datblygwyr sy’n cynnal dibyniaethau Python mewn amgylcheddau neu gynwysyddion a rennir archwilio hanes gosod diweddar. Mae poblogrwydd LiteLLM mewn prosiectau deallusrwydd artiffisial yn cynyddu cyrhaeddiad posibl y digwyddiad mewn ecosystemau datblygu modern.
Diweddariadau ar ddileu fersiynau maleisus
Ymddeolwyd fersiynau 1.82.7 a 1.82.8 o PyPI ar ôl i’r mater gael ei nodi. Cyhoeddodd Mantenedores o’r prosiect rybuddion diogelwch a chanllawiau i ddefnyddwyr. Mae’r gymuned ddiogelwch yn dilyn yr achos i fapio effeithiau posibl ar ystorfeydd sy’n dibynnu’n dros dro ar LiteLLM.
Mae ymchwilwyr yn parhau i ddadansoddi samplau o’r malware i nodi amrywiadau newydd neu ymddygiadau ychwanegol. Mae angen i Usuários a osododd y fersiynau yr effeithiwyd arnynt drin yr holl gymwysterau sy’n bresennol ar eu systemau fel rhai a allai fod yn agored.
