Μια ευρέως χρησιμοποιούμενη βιβλιοθήκη Python ανοιχτού κώδικα παραβιάστηκε στο Python Package Index (PyPI). Οι εκδόσεις 1.82.7 και 1.82.8 του πακέτου, οι οποίες δρομολογούν αιτήματα σε διάφορους παρόχους LLM και έχουν πάνω από 95 εκατομμύρια μηνιαίες λήψεις, βρέθηκε ότι περιέχουν μια εξελιγμένη κερκόπορτα από τους προμηθευτές ασφαλείας Endor Labs και JFrog.
Ο κακόβουλος κώδικας εγχύθηκε απευθείας στη διανομή PyPI, παρακάμπτοντας τον καθαρό αποθετήριο GitHub. Αυτή η επίθεση στην αλυσίδα εφοδιασμού αποδίδεται στο TeamPCP, έναν παράγοντα απειλών που είναι γνωστός για τη στόχευση εξαιρετικά προνομιούχων εργαλείων προγραμματιστών και ασφάλειας.
Η αλυσίδα μόλυνσης βασίζεται στην εκτέλεση κακόβουλου κώδικα που συγκαλύπτεται σε νόμιμες λειτουργίες βιβλιοθήκης. Στην έκδοση 1.82.7, οι εισβολείς εισήγαγαν ένα ωφέλιμο φορτίο 12 γραμμών με κωδικοποίηση base64 στο litellm/proxy/proxy_server.py αρχείο. Αυτός ο κωδικός ενεργοποιείται σιωπηλά κατά την εισαγωγή της μονάδας.
Η έκδοση 1.82.8 κλιμακώνει την απειλή εισάγοντας α litellm_init.pth αρχείο στη ρίζα του τροχού. Επειδή η Python επεξεργάζεται αυτόματα .pth αρχεία τοποθετημένα σε site-packages κατά την εκκίνηση, αυτό το δευτερεύον διάνυσμα διασφαλίζει ότι το ωφέλιμο φορτίο εκτελείται ως διαδικασία παρασκηνίου κατά τη διάρκεια οποιασδήποτε επίκλησης Python στο παραβιασμένο περιβάλλον. Αυτό σημαίνει ότι το ωφέλιμο φορτίο ενεργοποιείται ακόμα κι αν litellm δεν εισάγεται ποτέ ρητά από τον κώδικα του προγραμματιστή.
Εκδόσεις πακέτων που επηρεάζονται
| Όνομα πακέτου | Εκδοχή | Ημερομηνία δημοσίευσης | Διάνυσμα έγχυσης | Κατάσταση |
|---|---|---|---|---|
| litellm | 1.82.7 | 24-03-2026 | proxy_server.py (χρόνος εισαγωγής) |
Καταργήθηκε |
| litellm | 1.82.8 | 24-03-2026 | proxy_server.py + litellm_init.pth (έναρξη διερμηνέα) |
Καταργήθηκε |
Σημείωση: Η τελευταία γνωστή-καθαρή έκδοση είναι litellm 1.82.6.
Κατά την εκτέλεση, το ωφέλιμο φορτίο ξεκινά μια επιθετική ακολουθία επίθεσης τριών σταδίων. Το αρχικό σενάριο ενορχηστρωτή αποσυσκευάζει μια περιεκτική συσκευή συγκομιδής διαπιστευτηρίων που έχει σχεδιαστεί για να σαρώνει συστηματικά το σύστημα υποδοχής.
Στοχεύει κλειδιά SSH, διακριτικά παρόχου cloud για AWS, GCP και Azure, διαπιστευτήρια βάσης δεδομένων και πορτοφόλια κρυπτονομισμάτων. Τα εξαγόμενα μυστικά κρυπτογραφούνται χρησιμοποιώντας ένα υβριδικό σχήμα AES-256-CBC και RSA-4096 και ομαδοποιούνται σε ένα αρχείο με το όνομα tpcp.tar.gz προτού διεξαχθεί σε έναν τομέα ελεγχόμενο από τους εισβολείς που μεταμφιέζεται ως νόμιμος πόρος έργου.
Πέρα από την κλοπή διαπιστευτηρίων, το κακόβουλο λογισμικό επιχειρεί πλευρική κίνηση μέσα σε περιβάλλοντα Kubernetes. Εάν ο μηχανισμός συγκομιδής εντοπίσει ένα διακριτικό λογαριασμού υπηρεσίας Kubernetes, απαριθμεί γρήγορα όλους τους κόμβους συμπλέγματος και αναπτύσσει προνομιούχα αλπικά κοντέινερ σε κάθε κόμβο χρησιμοποιώντας πρόσβαση σε επίπεδο κεντρικού υπολογιστή.
Τέλος, το κακόβουλο λογισμικό δημιουργεί μόνιμη πρόσβαση με την απόρριψη μιας systemd υπηρεσίας χρήστη που είναι μεταμφιεσμένη ως διαδικασία τηλεμετρίας συστήματος. Αυτή η κερκόπορτα ψηφίζει συνεχώς έναν δευτερεύοντα διακομιστή εντολών και ελέγχου για την ανάκτηση και εκτέλεση πρόσθετων δυαδικών αρχείων.
Αυτή η παραβίαση αντιπροσωπεύει την τελευταία κλιμάκωση σε μια εκτεταμένη καμπάνια εφοδιαστικής αλυσίδας που ενορχηστρώθηκε από την TeamPCP. Τον περασμένο μήνα, η ομάδα έχει θέσει σε κίνδυνο πέντε ξεχωριστά οικοσυστήματα, συμπεριλαμβανομένων των GitHub Actions, Docker Hub, npm και OpenVSX.
Στοχεύοντας σκόπιμα την υποδομή και τα εργαλεία που εστιάζουν στην ασφάλεια, όπως το Trivy της Aqua Security και το KICS της Checkmarx, οι εισβολείς διασφαλίζουν ότι τα ωφέλιμα φορτία τους εκτελούνται σε εξαιρετικά προνομιακά περιβάλλοντα πλούσια σε μυστικά παραγωγής.
Βασικοί δείκτες συμβιβασμού (IoC)
| Δείκτης | Τύπος | Περιγραφή |
|---|---|---|
models.litellm.cloud |
Τομέας C2 | Τελικό σημείο διήθησης για κρυπτογραφημένα αρχεία διαπιστευτηρίων |
checkmarx.zone/raw |
Γ2 Τελικό σημείο | Τομέας παράδοσης ωφέλιμου φορτίου για τη μόνιμη κερκόπορτα |
~/.config/systemd/user/sysmon.service |
Σύστημα αρχείων | Μόνιμη συστημική μονάδα που κρύβει την πίσω πόρτα |
tpcp.tar.gz |
Αρχείο | Αρχείο με όνομα που περιέχει δεδομένα κεντρικού υπολογιστή που έχουν διεξαχθεί |
node-setup-* |
Kubernetes | Προνομιακές ομάδες επιτιθέμενων που έχουν αναπτυχθεί στο kube-system χώρο ονομάτων |
Οργανισμοί που χρησιμοποιούν litellm πρέπει να ελέγξουν αμέσως το περιβάλλον τους. Εάν εντοπιστούν οι παραβιασμένες εκδόσεις, οι ομάδες ασφαλείας πρέπει να αντιμετωπίσουν το περιβάλλον ως πλήρως παραβιασμένο και να ξεκινήσουν ένα ολοκληρωμένο πρωτόκολλο εναλλαγής διαπιστευτηρίων.
