LiteLLM στο PyPI που επλήγη από την TeamPCP: εμβάθυνση στην εκστρατεία κακόβουλου λογισμικού που κλέβει διαπιστευτήρια

Home » Python » LiteLLM στο PyPI που επλήγη από την TeamPCP: εμβάθυνση στην εκστρατεία κακόβουλου λογισμικού που κλέβει διαπιστευτήρια

Για λίγες ώρες στις 24 Μαρτίου 2026, ένα εξαιρετικά δημοφιλές πακέτο Python μετατράπηκε αθόρυβα σε έναν ισχυρό κλέφτη διαπιστευτηρίων. Δύο δηλητηριασμένες εκδόσεις του LiteLLM, μιας βιβλιοθήκης που χρησιμοποιείται ευρέως ως... ενοποιημένη διεπαφή για μεγάλα γλωσσικά μοντέλα (LLM), μεταφορτώθηκαν στο PyPI, εκθέτοντας για λίγο έναν τεράστιο αριθμό συστημάτων σε μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού.

Οι κακόβουλες εκδόσεις, 1.82.7 και 1.82.8, συνδύασε ένα πολυβάθμιο ωφέλιμο φορτίο ικανό να απορροφά μυστικά από μηχανήματα προγραμματιστών, δρομείς CI/CD, υποδομή cloud και συμπλέγματα Kubernetes και στη συνέχεια να τα διαβιβάζει σε διακομιστές που ελέγχονται από εισβολείς. Η καμπάνια έχει... συνδεδεμένος με την ομάδα απειλών TeamPCP, το οποίο εδώ και μήνες ασχολείται με το Trivy, τα εργαλεία Checkmarx, τις εικόνες Docker, επιθέσεις στην εφοδιαστική αλυσίδα του npm και τώρα το οικοσύστημα PyPI.

Τι είναι το LiteLLM και γιατί ήταν τόσο πρωταρχικός στόχος;

Το LiteLLM είναι ένα βιβλιοθήκη Python ανοιχτού κώδικα και διακομιστής μεσολάβησης που λειτουργεί ως ένα είδος καθολικού προσαρμογέα για API LLM. Επιτρέπει σε εφαρμογές να επικοινωνούν με πάνω από εκατό διαφορετικά μοντέλα – από παρόχους όπως OpenAI, Anthropic, Google, AWS Bedrock, Vertex AI και άλλους – μέσω ενός ενιαίου API τύπου OpenAI.

Λόγω αυτού του ρόλου, το έργο έχει ενσωματωθεί βαθιά στο οικοσύστημα της Τεχνητής Νοημοσύνης. Αναφορές από πολλούς προμηθευτές ασφάλειας δείχνουν ότι η LiteLLM βλέπει περίπου... 3-3.4 εκατομμύρια λήψεις ανά ημέρα, με κάποια τηλεμετρία να υποδηλώνει ότι υπάρχει σε περίπου 36% των παρακολουθούμενων περιβαλλόντων cloudΓια τους εισβολείς, η παραβίαση ενός πακέτου με αυτό το αποτύπωμα αντιπροσωπεύει μια σπάνια ευκαιρία να αξιοποιήσουν μια τεράστια ροή ευαίσθητων δεδομένων και διαπιστευτηρίων με μία κίνηση.

Από τη σχεδίαση, το LiteLLM συχνά βρίσκεται ακριβώς ανάμεσα εφαρμογές και πολλαπλοί πάροχοι υπηρεσιών Τεχνητής ΝοημοσύνηςΑυτή η θέση σημαίνει ότι χειρίζεται συστηματικά κλειδιά API, μεταβλητές περιβάλλοντος, αρχεία διαμόρφωσης και άλλα μυστικά που απαιτούνται για την πρόσβαση σε εξωτερικά τελικά σημεία LLM. Ένα backdoor σε μια τέτοια εξάρτηση μπορεί να υποκλέψει και να εξαγάγει αυτές τις τιμές χωρίς να απαιτείται άμεση παραβίαση των ίδιων των πλατφορμών upstream.

Το περιστατικό υπογραμμίζει επίσης πόσο περίπλοκη είναι η σύγχρονη ανάπτυξη: οι τοπικοί σταθμοί εργασίας, οι αγωγοί CI/CD, τα clusters Kubernetes και οι λογαριασμοί cloud συνδέονται όλα μεταξύ τους μέσω κοινών μυστικών και αυτοματισμού. Ένα μόνο παραβιασμένη εξάρτηση σε αυτό το γράφημα μπορεί να καταλήξει να εκθέτει διαπιστευτήρια σε πολλά επίπεδα της στοίβας ενός οργανισμού, ενισχύοντας τον αντίκτυπο πολύ πέρα ​​από έναν μόνο κεντρικό υπολογιστή.

Πώς εισήχθησαν οι κακόβουλες εκδόσεις LiteLLM

Οι δηλητηριασμένες απελευθερώσεις LiteLLM 1.82.7 και 1.82.8 προωθήθηκαν στο PyPI το πρωί της 24ης Μαρτίου 2026, περίπου 08: 30 UTCΠαρέμειναν διαθέσιμοι για σχεδόν δύο ώρες προτού τεθούν σε καραντίνα από την ομάδα ασφαλείας PyPI και αποκλειστούν από τρίτες άμυνες, με την αφαίρεση να αναφέρεται περίπου 11: 25 UTC.

Αυτό που κάνει αξιοσημείωτη αυτή την υπόθεση είναι ότι η Το backdoor δεν εμφανίστηκε στον αντίστοιχο πηγαίο κώδικα του GitHubΤα Endor Labs και άλλοι ερευνητές διαπίστωσαν ότι η κακόβουλη λογική είχε εισαχθεί στον ενσωματωμένο τροχό που διανέμεται στο PyPI και όχι στο δημόσιο αποθετήριο, γεγονός που υποδηλώνει ότι η παραβίαση έλαβε χώρα κατά τη διάρκεια ή μετά τη διαδικασία δημιουργίας/δημοσίευσης και όχι μέσω μιας ορατής υποβολής κώδικα.

Συγκεκριμένα, οι αναλυτές παρατήρησαν ότι το αρχείο litellm/proxy/proxy_server.py περιείχε ένα ενσωματωμένο ωφέλιμο φορτίο με κωδικοποίηση base64 που ήταν απουσιάζει από το ίδιο αρχείο στην υποβολή GitHubΠερίπου δώδεκα γραμμές εισήχθησαν ανάμεσα σε κατά τα άλλα νόμιμα μπλοκ κώδικα (για παράδειγμα, κοντά στον ορισμό του REALTIME_REQUEST_SCOPE_TEMPLATE και την showwarning Αυτές οι επιπλέον γραμμές αποκωδικοποιούσαν και εκτελούσαν σιωπηλά ένα κρυφό σενάριο κάθε φορά που εισαγόταν η ενότητα.

Στην έκδοση 1.82.8, οι επιτιθέμενοι προχώρησαν ένα βήμα παραπέρα ρίχνοντας ένα .pth όνομα αρχείου litellm_init.pth στο περιβάλλον Python. Επειδή η Python επεξεργάζεται όλα τα .pth αρχεία κατά την εκκίνηση του διερμηνέα, αυτό διασφάλιζε ότι το ωφέλιμο φορτίο θα εκτελούνταν σε κάθε κλήση της Python, ακόμα κι αν το ίδιο το LiteLLM δεν εισήχθη ποτέ από την εφαρμογή.

Αυτή η κλιμάκωση έκανε 1.82.8 σημαντικά πιο επικίνδυνο: οποιοδήποτε σενάριο Python, εκτελέσιμος δοκιμής, εργαλείο δημιουργίας ή αυτοματισμός που εκκινείται σε ένα περιβάλλον με εγκατεστημένο το παραβιασμένο πακέτο θα ενεργοποιούσε αθόρυβα τη λογική κλοπής διαπιστευτηρίων στο παρασκήνιο.

Σύνδεση με την ευρύτερη καμπάνια TeamPCP

Η παραβίαση της LiteLLM δεν συνέβη μεμονωμένα. Έρευνες από τις Sonatype, Wiz, Endor Labs και άλλους τη συνδέουν με ένα συνεχιζόμενη καμπάνια εφοδιαστικής αλυσίδας που διευθύνεται από την TeamPCP, μια ομάδα που τράβηξε την προσοχή στα τέλη του 2025 και έκτοτε έχει στοχεύσει σε μια σειρά από έργα ανοιχτού κώδικα και οικοσυστήματα προγραμματιστών.

Νωρίτερα τον Μάρτιο, οι ίδιοι δράστες είχαν εμπλακεί στην παραβίαση της Trivy της Aqua Security σαρωτή ευπάθειας και σχετικές ενέργειες GitHub, καθώς και σε κακόβουλες παραλλαγές των εργαλείων Checkmarx, συμπεριλαμβανομένων KICS, GitHub Actions και επεκτάσεις OpenVSX. Η καμπάνια έχει επίσης αγγίξει πακέτα npm, εικόνες Docker Hub και περιβάλλοντα Kubernetes, επαναχρησιμοποιώντας συχνά υποδομές, σχήματα κρυπτογράφησης και αντικείμενα persistence.

Ανατρέχοντας στο περιστατικό του LiteLLM, οι συντηρητές αποκάλυψαν ότι ένα Διακριτικό δημοσίευσης PyPI αποθηκευμένο ως μεταβλητή περιβάλλοντος στο αποθετήριο GitHub της LiteLLM, εξαφανίστηκε μέσω της παραβιασμένης ροής εργασίας Trivy. Αυτό το διακριτικό στη συνέχεια καταχράστηκε για να δημοσιεύστε τις μολυσμένες εκδόσεις PyPI, επιτρέποντας στους εισβολείς να παρακάμπτουν τις προστασίες δύο παραγόντων στους λογαριασμούς χρηστών και να εγχέουν κακόβουλους τροχούς χωρίς να αλλοιώνουν τον δημόσιο πηγαίο κώδικα.

Οι ερευνητές επισημαίνουν επίσης ύποπτες υποβολές και ροές εργασίας που δημιουργήθηκαν γύρω στις 23 Μαρτίου σε αποθετήρια που σχετίζονται με το LiteLLM, συμπεριλαμβανομένου ενός βραχύβιου κλάδου και μιας ροής εργασίας GitHub Actions που φέρει ένα οικείο δημόσιο κλειδί RSA που παρατηρείται σε άλλα ωφέλιμα φορτία TeamPCP. Η τηλεμετρία από τις εκτελέσεις ροής εργασίας υποδηλώνει ότι ενδέχεται να έχουν προσπελαστεί και να έχουν εξαχθεί μυστικά που είναι διαθέσιμα σε αυτούς τους εκτελεστές CI.

Σε όλα τα περιστατικά, η ομάδα έχει επιδείξει ένα σταθερό μοτίβο: κλέβουν διαπιστευτήρια σε ένα περιβάλλον και στη συνέχεια μεταβαίνουν στο επόμενο οικοσύστημαΣε αυτήν την περίπτωση, μια λανθασμένη διαμόρφωση στις Ενέργειες GitHub του Trivy επέτρεψε την κλοπή ενός προνομιακού διακριτικού. Αυτό το διακριτικό οδήγησε σε κακόβουλες εκδόσεις του Trivy και εικόνες Docker. Αυτά, με τη σειρά τους, επέτρεψαν την παραβίαση των εργαλείων Checkmarx και τελικά του πακέτου LiteLLM PyPI.

Πώς λειτουργεί το κακόβουλο λογισμικό LiteLLM

Αναλύσεις από πολλούς προμηθευτές περιγράφουν το backdoor του LiteLLM ως πολυβάθμιο, ωφέλιμο φορτίο Python με base64 Σχεδιασμένο να είναι αθόρυβο, ευέλικτο και ανθεκτικό. Η λογική είναι οργανωμένη σε περίπου τρία επίπεδα, καθένα από τα οποία χειρίζεται μια διαφορετική φάση της επίθεσης.

Στο πρώτο επίπεδο, ο κώδικας που εισήχθη στο proxy_server.py ή η litellm_init.pth φιλέτο αποκωδικοποιεί και εκτοξεύει έναν κρυφό ενορχηστρωτήΑντί να χρησιμοποιείτε εύκολα επισημασμένες συναρτήσεις όπως exec(), το σενάριο βασίζεται σε κλήσεις υποδιεργασιών και σε τυπική λειτουργικότητα βιβλιοθήκης για να εκτελέσει το αποκωδικοποιημένο ωφέλιμο φορτίο και να καταγράψει την έξοδό του, βοηθώντας το να ενσωματωθεί στην κανονική συμπεριφορά της εφαρμογής.

Μόλις εκτελεστεί, αυτός ο ενορχηστρωτής συλλέγει την έξοδο του επόμενου σταδίου, κρυπτογραφεί τα δεδομένα που συλλέγονται με AES‑256‑CBC και στη συνέχεια κρυπτογραφεί το ίδιο το κλειδί συνεδρίας AES χρησιμοποιώντας ένα ενσωματωμένο δημόσιο κλειδί RSA στον κώδικα. Το κρυπτογραφημένο blob και το κλειδί ομαδοποιούνται σε ένα αρχείο με όνομα tpcp.tar.gz, επαναλαμβάνοντας άλλες επιχειρήσεις της TeamPCP, και προετοιμασμένοι για εκδιήθηση.

Το δεύτερο στρώμα είναι υπεύθυνο για επιθετική αναγνώριση συστήματος και συλλογή διαπιστευτηρίωνΑπαριθμεί ονόματα κεντρικών υπολογιστών, πληροφορίες χρήστη και δικτύου, καθώς και μεταβλητές περιβάλλοντος και, στη συνέχεια, σαρώνει μια μακρά λίστα διαδρομών και αρχείων διαμόρφωσης για ευαίσθητο υλικό. Οι στόχοι περιλαμβάνουν:

• Κλειδιά SSH και αρχεία ρυθμίσεων (πελάτης και διακομιστής)
• Διαπιστευτήρια cloud για AWS, GCP και Azure, συμπεριλαμβανομένων διακριτικών που προέρχονται από μεταδεδομένα
• Αρχεία Kubernetes kubeconfig, διακριτικά λογαριασμού υπηρεσίας και μυστικά συμπλέγματος
• Αρχεία περιβάλλοντος όπως το πορτοκαλί και το κίτρινο μπορούν να φωτίσουν τα έπιπλά σας και να τα αναδείξουν. Αυτά τα χρώματα ταιριάζουν καλά με ξύλα ανοιχτών τόνων, προσθέτοντας ζεστασιά και ζωντάνια στον χώρο. .env παραλλαγές που χρησιμοποιούνται συχνά για την αποθήκευση κλειδιών API
• Διαμόρφωση CI/CD, μυστικά και διακριτικά πρόσβασης
• Terraform, Helm και άλλα αντικείμενα IaC ή ανάπτυξης
• Συμβολοσειρές σύνδεσης βάσης δεδομένων και αρχεία ρυθμίσεων
• Ιδιωτικά κλειδιά TLS/SSL και υλικό πιστοποίησης
• Πορτοφόλια με κρυπτογράφηση και σχετικά δεδομένα

Σε ορισμένα περιβάλλοντα, ο κλέφτης δεν σταματά στη συλλογή. Προσπαθεί να ενεργή χρήση ανακαλυφθέντων διαπιστευτηρίων, για παράδειγμα, υποβάλλοντας ερωτήματα σε API παρόχων cloud, αντλώντας μυστικά του Kubernetes ή εξερευνώντας προσβάσιμους πόρους, αυξάνοντας την πιθανότητα πλευρικής κίνησης και επακόλουθης παραβίασης.

Το τρίτο στρώμα παρέχει επιμονή και τηλεχειρισμόςΓράφει ένα σενάριο Python σε δίσκο (που συνήθως παρατηρείται ως sysmon.py) και το καταχωρεί ως μια υπηρεσία που λειτουργεί εδώ και καιρό, συχνά μεταμφιεσμένη σε κάτι καλοήθη, όπως μια «Υπηρεσία Τηλεμετρίας Συστήματος». Αυτή η υπηρεσία επικοινωνεί περιοδικά με την υποδομή του εισβολέα, συνήθως κάθε 50 λεπτά, για να ανακτήσει πρόσθετες εντολές ή ωφέλιμα φορτία.

Οι ερευνητές σημειώνουν κάποια ιδιόρρυθμη συμπεριφορά εδώ: όταν ορισμένοι προμηθευτές ασφάλειας προσπάθησαν να λάβουν το ωφέλιμο φορτίο από το τελικό σημείο εντολών και ελέγχου, ο διακομιστής απάντησε με έναν σύνδεσμο προς μια ανανεωμένη έκδοση του τραγουδιού "Bad Apple!!", προφανώς ως... τακτική εκτροπής από την αυτοματοποιημένη ανάλυσηΩστόσο, σε μολυσμένα συστήματα, ο ίδιος μηχανισμός μπορεί να προσφέρει αθόρυβα νέες λειτουργίες με την πάροδο του χρόνου.

Κανάλια εκδιήθησης και υποδομή εισβολέα

Σε όλα τα περιστατικά LiteLLM, οι αναλυτές παρατήρησαν επικοινωνία με τουλάχιστον δύο κύριους τομείς που ελέγχονταν από τους εισβολείς: modelslitellmcloud checkmarxzoneΑυτά ευθυγραμμίζονται με την υποδομή που χρησιμοποιήθηκε σε προηγούμενη δραστηριότητα TeamPCP και εξυπηρετούν διακριτούς ρόλους.

Το κρυπτογραφημένο αρχείο tpcp.tar.gz είναι συνήθως μεταφορτώθηκε στο models.litellmcloud, επιτρέποντας στους χειριστές να ανακτούν κλεμμένα διαπιστευτήρια από χιλιάδες περιβάλλοντα downstream. Σε ορισμένες παραλλαγές, διαφορετικές υποδιαδρομές του checkmarxzone (για παράδειγμα, checkmarxzone/raw or .../vsx) χρησιμοποιούνται για την παράδοση σεναρίων διατήρησης ή πρόσθετων σταδίων.

Σε παραβιασμένα συστήματα, οι υπερασπιστές έχουν αναφέρει μια σειρά από επαναλαμβανόμενα δείκτες παραβίασης (IoCs) που σχετίζονται με το κακόβουλο λογισμικό LiteLLM:

• Η παρουσία του αρχείου tpcp.tar.gz σε προσωρινούς ή λειτουργικούς καταλόγους
• Προσωρινά αρχεία όπως π.χ. /tmp/pglog /tmp/.pg_state
• Σκριπτ Python και διαδρομές διαμόρφωσης που σχετίζονται με sysmon.py και ένα αντίστοιχο αρχείο υπηρεσίας (συχνά στους καταλόγους διαμόρφωσης χρήστη ή systemd)
• Απροσδόκητος litellm_init.pth αρχεία σε πακέτα ιστοτόπων Python για την έκδοση 1.82.8
• Εξερχόμενη επισκεψιμότητα ή αναζητήσεις DNS που οδηγούν σε modelslitellmcloud or checkmarxzone

Εντοπίστηκε κακόβουλη λογική σε αρχεία όπως proxy_server.py (LiteLLM 1.82.7 και 1.82.8) και litellm_init.pth (1.82.8). Οι προμηθευτές ασφάλειας έχουν καταγράψει hashes και περαιτέρω IoCs και συνεχίζουν να ενημερώνουν τις ενημερώσεις τους καθώς εμφανίζονται πρόσθετες ιατροδικαστικές λεπτομέρειες.

Επιπτώσεις σε περιβάλλοντα Τεχνητής Νοημοσύνης, cloud και CI/CD

Επειδή το LiteLLM χρησιμοποιείται εκτενώς σε Εφαρμογές και υπηρεσίες που βασίζονται στην Τεχνητή Νοημοσύνη, η πρακτική ακτίνα έκρηξης αυτού του συμβιβασμού εκτείνεται πέρα ​​από τους απλούς καταναλωτές πακέτων. Τα περιβάλλοντα cloud όπου το LiteLLM χρησίμευε ως πύλη προς τους παρόχους LLM είναι πιθανό να έχουν συστεγασμένα μυστικά στον ίδιο χρόνο εκτέλεσης ή χώρο διαμόρφωσης.

Ο Wiz και άλλοι παρατηρητές εκτιμούν ότι το LiteLLM εμφανίζεται περίπου το ένα τρίτο των παρατηρούμενων περιβαλλόντων cloud, υπογραμμίζοντας την πιθανή εμβέλεια. Ορισμένες πηγές που επικαλείται το BleepingComputer έχουν υποδείξει ότι ο αριθμός των συμβάντων εξαγωγής δεδομένων μπορεί να φτάσει τις εκατοντάδες χιλιάδες, αν και εκκρεμεί ανεξάρτητη επιβεβαίωση του ακριβούς αριθμού.

Αξιοσημείωτο είναι ότι το κακόβουλο λογισμικό δίνει έμφαση Συμπεριφορά με επίγνωση του KubernetesΣε πολλές αναλύσεις, το ωφέλιμο φορτίο επιχειρεί να αναπτύξει προνομιούχες ομάδες (pods) σε όλους τους κόμβους ενός συμπλέγματος και, στη συνέχεια, να χρησιμοποιήσει αυτές τις ομάδες για να αποκτήσει πρόσβαση σε μυστικά και αντικείμενα διαμόρφωσης. Σε ξεχωριστές αλλά σχετικές λειτουργίες του TeamPCP, οι ερευνητές έχουν δει ομάδες Kubernetes να στοχεύονται με σενάρια που διαγράφουν κόμβους όταν το περιβάλλον φαίνεται να βρίσκεται στο Ιράν, ενώ εγκαθιστούν backdoors (όπως το λεγόμενο CanisterWorm) αλλού.

Η εστίαση στα εργαλεία CI/CD είναι εξίσου σαφής. Παραβιάζοντας τις Trivy GitHub Actions, τις επεκτάσεις Checkmarx VS Code και τις GitHub Actions, και τώρα το LiteLLM, οι επιτιθέμενοι αποκτούν σημεία εισόδου όπου Ο αυτοματισμός έχει ήδη ευρεία δικαιώματα πάνω από αποθετήρια, δημιουργία αντικειμένων και διαπιστευτήρια ανάπτυξης. Αυτή η προσέγγιση μετατρέπει εργαλεία που κατά τα άλλα είναι προσανατολισμένα στην ασφάλεια σε εφαλτήρια για ευρύτερους συμβιβασμούς.

Αξιωματούχοι του FBI και ερευνητές του κλάδου έχουν προειδοποιήσει ότι με μεγάλοι όγκοι κλεμμένων διαπιστευτηρίων στα χέρια τους, είναι λογικό να αναμένουμε περισσότερες ειδοποιήσεις παραβίασης, δευτερογενείς εισβολές και απόπειρες εκβιασμού τις εβδομάδες και τους μήνες που ακολουθούν την αρχική αποκάλυψη του LiteLLM.

Βήματα ανίχνευσης, περιορισμού και αποκατάστασης

Για οργανισμούς που ενδέχεται να έχουν ανακτήσει ή εκτελέσει εκδόσεις LiteLLM 1.82.7 ή 1.82.8 από το PyPI, οι οδηγίες από τους προμηθευτές ασφαλείας και τους συντηρητές του PyPI είναι σαφείς: να αντιμετωπίζετε τα επηρεαζόμενα συστήματα ως παραβιασμέναΗ απλή απεγκατάσταση του πακέτου δεν καταργεί τους μηχανισμούς διατήρησης ούτε αναιρεί τυχόν κλοπή διαπιστευτηρίων που μπορεί να έχει ήδη συμβεί.

Οι προτεινόμενες άμεσες ενέργειες περιλαμβάνουν:

• Προσδιορίστε τυχόν εγκαταστάσεις του LiteLLM 1.82.7 ή 1.82.8 σε μηχανήματα προγραμματιστών, δρομείς CI/CD, κοντέινερ και περιβάλλοντα παραγωγής.
• Αφαιρέστε τις κακόβουλες εκδόσεις και να καρφιτσώσετε το LiteLLM σε μια γνωστή και έγκυρη έκδοση (με την έκδοση 1.82.6 να αναφέρεται ευρέως ως η τελευταία καθαρή έκδοση κατά τη στιγμή της αναφοράς).
• Εναλλαγή όλων των διαπιστευτηρίων προσβάσιμα από επηρεαζόμενα περιβάλλοντα: κλειδιά SSH, κλειδιά και διακριτικά παρόχου cloud, μυστικά Kubernetes, μυστικά CI/CD, διαπιστευτήρια βάσης δεδομένων, κλειδιά TLS και τυχόν μυστικά πορτοφόλια ή σχετικά με πληρωμές.
• Αναζήτηση για αντικείμενα επιμονής, Όπως sysmon.py, ύποπτους ορισμούς υπηρεσιών systemd και ασυνήθιστα αρχεία στην ενότητα ~/.config ή προσωρινούς καταλόγους όπως /tmp/pglog /tmp/.pg_state.
• Επιθεώρηση συμπλεγμάτων Kubernetes για απροσδόκητα προνομιούχα pods, ειδικά σε χώρους ονομάτων όπως kube-systemκαι για ασυνήθιστους λογαριασμούς υπηρεσιών ή συνδέσεις ρόλων.
• Παρακολούθηση εξερχόμενων συνδέσεων και ερωτήματα DNS για γνωστούς τομείς εισβολέων όπως models.litellmcloud checkmarxzone.

Σε περιβάλλοντα όπου η κερκόπορτα μπορεί να έχει εκτελεστεί για σημαντικό χρονικό διάστημα, πολλοί ειδικοί υποστηρίζουν ότι ένα πλήρης ανακατασκευή από μια αξιόπιστη βάση μπορεί να είναι η ασφαλέστερη διαδρομή, ειδικά για κρίσιμες υποδομές. Δεδομένης της φύσης του κακόβουλου λογισμικού, η ανεπαίσθητη παραβίαση ή τα πρόσθετα ωφέλιμα φορτία δεν μπορούν να αποκλειστούν απλώς με την αφαίρεση του πακέτου LiteLLM.

Οι οργανισμοί ενθαρρύνονται επίσης να υιοθετήσουν πιο ισχυρά διαχείριση εξαρτήσεων και άμυνες στην εφοδιαστική αλυσίδα: καρφίτσωμα σε συγκεκριμένες, επαληθευμένες εκδόσεις, ενεργοποίηση εργαλείων που μπλοκάρουν ή επισημαίνουν γνωστά κακόβουλα πακέτα κατά την κατάποση και ενσωμάτωση αυτοματοποιημένης ανάλυσης συμπεριφοράς που μπορεί να ανιχνεύσει απροσδόκητη δραστηριότητα δικτύου ή συστήματος αρχείων κατά τη διάρκεια κατασκευών και δοκιμών.

Τι λέει η υπόθεση LiteLLM για τις αλυσίδες εφοδιασμού λογισμικού τεχνητής νοημοσύνης

Το περιστατικό με το LiteLLM υπογραμμίζει μια ευρύτερη τάση που έχει αναπτυχθεί τα τελευταία χρόνια: Τα στοιχεία υψηλής μόχλευσης σε συστήματα τεχνητής νοημοσύνης και cloud stacks γίνονται πρωταρχικοί στόχοι για τους εισβολείς της εφοδιαστικής αλυσίδας. Αντί να επιτίθενται απευθείας στις εφαρμογές των τελικών χρηστών, οι απειλητικοί παράγοντες αναζητούν ολοένα και περισσότερο σημεία στην αλυσίδα εργαλείων όπου η παραβίαση μιας μεμονωμένης βιβλιοθήκης ή plugin παρέχει πρόσβαση σε πολλούς οργανισμούς κατάντη.

Πακέτα όπως το LiteLLM ουσιαστικά βρίσκονται σε ένα σημείο ασφυξίας για μυστικάΜεσολαβούν σε κλήσεις προς παρόχους Τεχνητής Νοημοσύνης, αγγίζουν συστήματα αυτοματισμού CI/CD και υποδομών και συχνά εκτελούνται με αυξημένα δικαιώματα. Καθώς όλο και περισσότερες επιχειρήσεις σπεύδουν να ενσωματώσουν δυνατότητες LLM χρησιμοποιώντας εργαλεία ανοιχτού κώδικα, η αξία τέτοιων στοιχείων - και το κίνητρο για την κρυπτογράφησή τους - μόνο αυξάνεται.

Ταυτόχρονα, η επίθεση καταδεικνύει τις προκλήσεις της υπεράσπισης των αγωγών δημιουργίας και δημοσίευσης. Σε αυτήν την περίπτωση, οι εισβολείς φέρονται να αξιοποίησαν μια λανθασμένη διαμόρφωση ροής εργασίας Trivy για να κλέψουν ένα διακριτικό και στη συνέχεια χρησιμοποίησαν αυτό το διακριτικό για να προωθήσουν μολυσμένα πακέτα στο PyPI, αφήνοντας παράλληλα το δημόσιο δέντρο πηγαίου κώδικα προφανώς καθαρό. Οι ετικέτες έκδοσης και τα βήματα κατασκευής έγιναν μέρος της επιφάνειας επίθεσης, εκμεταλλευόμενοι το γεγονός ότι πολλές διοχετεύσεις βασίζονται σε ετικέτες αντί για καρφιτσωμένες δεσμεύσεις και ενδέχεται να εμπιστεύονται έμμεσα αντικείμενα που προέρχονται από γνωστούς συντηρητές.

Προμηθευτές όπως οι Sonatype, Wiz και Endor Labs τονίζουν τη σημασία του αυτοματοποιημένες διασφαλίσεις σε πραγματικό χρόνο που μπορούν να εντοπίσουν ασυνήθιστη συμπεριφορά – όπως προηγουμένως αόρατους προορισμούς δικτύου ή κρυπτογραφημένη εξαγωγή – ακόμη και όταν τα μεταδεδομένα πακέτων και το ιστορικό αποθετηρίων φαίνονται νόμιμα. Τα τείχη προστασίας αποθετηρίων, οι σαρωτές που βασίζονται σε πληροφορίες για απειλές και η ανάλυση των εξαρτήσεων με βάση τα συμφραζόμενα θεωρούνται όλο και περισσότερο ως απαραίτητα επίπεδα και όχι προαιρετικά πρόσθετα.

Για τους συντηρητές και τους οργανισμούς, η παραβίαση του LiteLLM αποτελεί μια υπενθύμιση ότι διαχείριση μυστικών, σκλήρυνση CI/CD και εναλλαγή πιστοποιητικών είναι θεμελιώδεις για την ασφάλεια της εφοδιαστικής αλυσίδας. Η ελλιπής ή μη ατομική εναλλαγή πιστοποιητικών σε προηγούμενα περιστατικά άφησε κενά που η TeamPCP μπόρεσε να επαναχρησιμοποιήσει εβδομάδες αργότερα, καταδεικνύοντας πώς ένα μόνο λάθος βήμα στην αντιμετώπιση περιστατικών μπορεί να διαδοθεί σε όλα τα οικοσυστήματα.

Η καμπάνια που σάρωσε το LiteLLM ξεκίνησε με κάτι που φαινόταν σαν ένα περιορισμένο πρόβλημα ροής εργασίας και έκτοτε έχει επεκταθεί σε GitHub Actions, Docker Hub, το περιστατικό Shai-Hulud npm, OpenVSX και PyPI. Με backdoors που κρύβονται σε ευρέως αξιόπιστα εργαλεία και συνδέσεις τεχνητής νοημοσύνης, και κλεμμένα διαπιστευτήρια που ρέουν στην υποδομή του εισβολέα, το επεισόδιο υπογραμμίζει πόσο γρήγορα η αλυσίδα εφοδιασμού λογισμικού μπορεί να γίνει μια ελκυστική και εξαιρετικά αποτελεσματική επιφάνεια επίθεσης.