【安全圈】熱門 Python 庫 LiteLLM 遭供應鏈攻擊，后門竊取憑證和認證令牌

關(guān)鍵詞

LLM攻擊

TeamPCP黑客組織持續(xù)發(fā)動供應鏈攻擊，現(xiàn)已入侵廣受歡迎的Python庫”LiteLLM”，并聲稱在攻擊期間從數(shù)十萬臺設(shè)備竊取數(shù)據(jù)。

LiteLLM是一款開源Python庫，作為統(tǒng)一API網(wǎng)關(guān)對接多個大語言模型（LLM）提供商。該包極為熱門，日均下載量超340萬次，過去一個月下載量超9500萬次。

據(jù)Endor Labs研究，威脅行為體入侵該項目后，今日向PyPI發(fā)布了LiteLLM 1.82.7和1.82.8的惡意版本，部署信息竊取程序收集各類敏感數(shù)據(jù)。

此次攻擊由TeamPCP認領(lǐng)，該組織此前高調(diào)入侵了Aqua Security的Trivy漏洞掃描器。那次入侵引發(fā)連鎖反應，波及Aqua Security Docker鏡像、Checkmarx KICS項目，如今又輪到LiteLLM。

該組織還被發(fā)現(xiàn)利用惡意腳本攻擊Kubernetes集群——當檢測到伊朗配置的系統(tǒng)時擦除所有機器，在其他地區(qū)設(shè)備上則安裝新型CanisterWorm后門。

消息人士告訴BleepingComputer，數(shù)據(jù)外泄數(shù)量約50萬條，其中大量為重復記錄。VX-Underground報告的”感染設(shè)備”數(shù)量相近。但BleepingComputer未能獨立核實這些數(shù)字。

LiteLLM供應鏈攻擊詳情

Endor Labs報告稱，威脅行為體今日推送了兩個惡意版本，均在包導入時執(zhí)行隱藏載荷。

惡意代碼以base64編碼形式注入’litellm/proxy/proxy_server.py’文件，模塊導入時即解碼執(zhí)行。1.82.8版本更進一步，向Python環(huán)境安裝名為’litellm_init.pth’的.pth文件。由于Python解釋器啟動時會自動處理所有.pth文件，即使不專門使用LiteLLM，惡意代碼也會在Python運行時執(zhí)行。

執(zhí)行后，載荷最終部署”TeamPCP Cloud Stealer”變種及持久化腳本。BleepingComputer分析顯示，該載荷與Trivy供應鏈攻擊中使用的憑證竊取邏輯幾乎相同。

Endor Labs解釋：”載荷觸發(fā)后執(zhí)行三階段攻擊：收集憑證（SSH密鑰、云令牌、Kubernetes密鑰、加密錢包和.env文件），嘗試通過向每個節(jié)點部署特權(quán)Pod在Kubernetes集群內(nèi)橫向移動，并安裝持久化systemd后門以輪詢額外二進制文件。外泄數(shù)據(jù)經(jīng)加密后發(fā)送至攻擊者控制的域名。”

竊取范圍

該竊取程序收集廣泛的憑證和認證密鑰，包括：

• 系統(tǒng)偵察：運行hostname、pwd、whoami、uname -a、ip addr、printenv命令

• SSH密鑰和配置文件

• AWS、GCP、Azure云憑證

• Kubernetes服務賬戶令牌和集群密鑰

• .env等環(huán)境文件

• 數(shù)據(jù)庫憑證和配置文件

• TLS私鑰和CI/CD密鑰

• 加密貨幣錢包數(shù)據(jù)

云竊取載荷還包含額外的base64編碼腳本，偽裝為”System Telemetry Service”安裝為systemd用戶服務，定期連接checkmarx[.]zone遠程服務器下載執(zhí)行額外載荷。

竊取數(shù)據(jù)打包為名為tpcp.tar.gz的加密檔案，發(fā)送至攻擊者控制的infrastructure models.litellm[.]cloud。

如懷疑已遭入侵，應將受影響系統(tǒng)上的所有憑證視為已暴露并立即輪換。

BleepingComputer多次報道過因企業(yè)未及時輪換先前泄露中發(fā)現(xiàn)的憑證、密鑰和認證令牌而引發(fā)的入侵事件。研究人員和威脅行為體均告訴BleepingComputer，雖然輪換密鑰困難，但這是防止連鎖供應鏈攻擊的最佳手段之一。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！