大模型网关LiteLLM的PyPI包遭投毒，用户凭据和认证令牌遭窃取

编译：代码卫士

黑客团伙TeamPCP 仍在持续发动供应链攻击，攻陷了位于 PyPI 平台上的热门 Python 包 “LiteLLM”，声称在攻击中已窃取数十万台设备的数据。

LiteLLM 是一款开源 Python 库，充当通过一个 API 就能调用多个大语言模型提供商的网关。该包非常热门，每日下载量超过340万次，过去一个月的下载量超过9500万次。

Endor Labs 表示，威胁人员攻陷了该项目并将恶意版本 LiteLLM 1.82.7和1.82.8发布到 PyPI 平台，部署了一款信息窃取工具，收割大量敏感数据。黑客团伙 TeamPCP 声称发动了此次攻击。该团伙被指是最近发生的多起高级别攻击的幕后黑手，如 Aqua Security 公司的 Trivy 漏洞扫描器数据遭泄露并波及多个项目如 Aqua Security Docker 镜像、Checkmarx KICS 项目、LiteLLM等。该团伙被指通过恶意脚本攻击 Kubernetes 集群，如检测到面向伊朗配置的系统则会擦除所有机器；反之，则会在位于其它地区的设备上安装一个新的 CanisterWorm 后门。

消息人士表示，被盗设备约为50万台，其中许多是重复的。VX-Underground 也认为“受感染设备”数据量相近。不过目前尚无法核实数据的真实性。

LiteLLM 供应链攻击

Endor Labs 报道称，威胁人员今天推送了两个 LiteLLM的恶意版本，每个都包含一个隐藏的 payload，一旦导入该包就会执行。

恶意代码被注入 "litellm/proxy/proxy_server.py" 作为base64位编码的 payload，而当该模块导入时就会被解码并执行。LiteLLM 1.82.8 版本引入一个更具攻击性的特性，即在 Python 环境下安装一个名为 “litellm_init.pth”的 “.pth” 文件。由于 Python 在启动时会自动执行所有的 “.pth” 文件，因此不管 Python 何时运行，该恶意代码都会被执行，即使在未使用 LiteLLM 的情况下也不例外。一旦执行 payload，它最终会部署 “TeamPCP Cloud Stealer” 的一个变体以及一个持久性脚本。分析发现，该 payload 包含与 Trivy 供应链攻击中使用的几乎一样的凭据窃取逻辑。

研究人员提到，“一旦被触发，payload 就会执行三阶段攻击：窃取凭据（SSH密钥、云令牌、Kubernetes 机密、密币钱包和 .env 文件）、尝试通过将特权 pod 部署到每个节点的方式在 Kubernetes 集群中横向移动，以及安装一个持续运行的 systemd 后门，用于轮询获取额外的二进制文件。这些数据被提取后加密并发送到受攻击者控制的域名。”

该窃取器收割了大量凭据和认证机密，包括：

• 通过运行 hostname、pwd、whoami、uname –a、ip add和printenv 命令的系统侦查。

• SSH密钥和配置文件。

• AWS、GCP和Azure的云凭据。

• Kuernetes 服务账号令牌和集群密钥。

• 环境文件如 “.env” 变体等。

• 数据库凭据和配置文件。

• TLS私钥和CI/CD密钥。

• 密币钱包数据。

该云窃取器 payload 还包括一个额外的 base64编码脚本，该脚本伪装成“系统遥测服务”的systemd 用户服务，定期连接位于 checkmarx[.]zone 的一个远程服务器来下载并执行更多的 payload。被导数据绑定到名为“tpcp.tar.gz”的加密文档并发送给受攻击者控制的基础设施 models.litellm[.]cloud供后续访问。

立即更换被暴露凭据

目前LiteLLM 的两个恶意版本均已从 PyPI 删除，目前最新的干净版本是 1.82.6。

强烈建议使用 LiteLLM 的组织机构立即：

• 检查是否安装了 1.82.7 或 1.82.8 版本。

• 立即更换在受影响设备上使用或在其代码中发现的所有密钥、令牌和凭证。

• 查找持久化痕迹，如 ~/.config/sysmon/sysmon.py 及相关 systemd 服务。

• 检查系统中是否存在可疑文件，如 /tmp/pglog 和 /tmp/.pg_state。

• 审查 Kubernetes 集群中 kube-system 命名空间下是否存在未授权的 Pod。

• 监控发往已知攻击者域名的出站流量。

如疑似攻陷情况，应认为受影响系统上的所有凭据都应被认为是被暴露的且应立即更换。实际有很多数据泄露事件都源自企业没有更换凭据、密钥以及认证令牌。研究人员和威胁人员均曾表示，虽然更换密钥的操作较为繁琐，但却是阻止供应链攻击的最佳方式之一。

原文链接

https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。