【安全圈】熱門 Python 庫 LiteLLM 遭供應鏈攻擊，后門竊取憑證和認證令牌

關鍵詞

LLM攻擊

TeamPCP黑客組織持續發動供應鏈攻擊，現已入侵廣受歡迎的Python庫”LiteLLM”，并聲稱在攻擊期間從數十萬臺設備竊取數據。

LiteLLM是一款開源Python庫，作為統一API網關對接多個大語言模型（LLM）提供商。該包極為熱門，日均下載量超340萬次，過去一個月下載量超9500萬次。

據Endor Labs研究，威脅行為體入侵該項目后，今日向PyPI發布了LiteLLM 1.82.7和1.82.8的惡意版本，部署信息竊取程序收集各類敏感數據。

此次攻擊由TeamPCP認領，該組織此前高調入侵了Aqua Security的Trivy漏洞掃描器。那次入侵引發連鎖反應，波及Aqua Security Docker鏡像、Checkmarx KICS項目，如今又輪到LiteLLM。

該組織還被發現利用惡意腳本攻擊Kubernetes集群——當檢測到伊朗配置的系統時擦除所有機器，在其他地區設備上則安裝新型CanisterWorm后門。

消息人士告訴BleepingComputer，數據外泄數量約50萬條，其中大量為重復記錄。VX-Underground報告的”感染設備”數量相近。但BleepingComputer未能獨立核實這些數字。

LiteLLM供應鏈攻擊詳情

Endor Labs報告稱，威脅行為體今日推送了兩個惡意版本，均在包導入時執行隱藏載荷。

惡意代碼以base64編碼形式注入’litellm/proxy/proxy_server.py’文件，模塊導入時即解碼執行。1.82.8版本更進一步，向Python環境安裝名為’litellm_init.pth’的.pth文件。由于Python解釋器啟動時會自動處理所有.pth文件，即使不專門使用LiteLLM，惡意代碼也會在Python運行時執行。

執行后，載荷最終部署”TeamPCP Cloud Stealer”變種及持久化腳本。BleepingComputer分析顯示，該載荷與Trivy供應鏈攻擊中使用的憑證竊取邏輯幾乎相同。

Endor Labs解釋：”載荷觸發后執行三階段攻擊：收集憑證（SSH密鑰、云令牌、Kubernetes密鑰、加密錢包和.env文件），嘗試通過向每個節點部署特權Pod在Kubernetes集群內橫向移動，并安裝持久化systemd后門以輪詢額外二進制文件。外泄數據經加密后發送至攻擊者控制的域名�！�

竊取范圍

該竊取程序收集廣泛的憑證和認證密鑰，包括：

• 系統偵察：運行hostname、pwd、whoami、uname -a、ip addr、printenv命令

• SSH密鑰和配置文件

• AWS、GCP、Azure云憑證

• Kubernetes服務賬戶令牌和集群密鑰

• .env等環境文件

• 數據庫憑證和配置文件

• TLS私鑰和CI/CD密鑰

• 加密貨幣錢包數據

云竊取載荷還包含額外的base64編碼腳本，偽裝為”System Telemetry Service”安裝為systemd用戶服務，定期連接checkmarx[.]zone遠程服務器下載執行額外載荷。

竊取數據打包為名為tpcp.tar.gz的加密檔案，發送至攻擊者控制的infrastructure models.litellm[.]cloud。

如懷疑已遭入侵，應將受影響系統上的所有憑證視為已暴露并立即輪換。

BleepingComputer多次報道過因企業未及時輪換先前泄露中發現的憑證、密鑰和認證令牌而引發的入侵事件。研究人員和威脅行為體均告訴BleepingComputer，雖然輪換密鑰困難，但這是防止連鎖供應鏈攻擊的最佳手段之一。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！