Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

TeamPCP инфицира LiteLLM 1.82.7–1.82.8 со бекдор преку компромитиран CI/CD (Trivy)

Објавено: 25.03.2026

TeamPCP, заканувачкиот актер зад неодамнешните компромитации на Trivy и KICS, сега компромитираше популарен Python пакет наречен litellm, објавувајќи две малициозни верзии кои содржат алатка за собирање креденцијали, toolkit за латерално движење во Kubernetes и перзистентен бекдор.

Повеќе безбедносни компании, вклучувајќи Endor Labs и JFrog, открија дека верзиите 1.82.7 и 1.82.8 на litellm биле објавени на 24 март 2026 година, најверојатно како резултат на користење на Trivy во нивниот CI/CD процес. Двете компромитирани верзии во меѓувреме се отстранети од PyPI.

„Payload-от е напад во три фази: алатка за собирање креденцијали која пребарува SSH клучеви, cloud креденцијали, Kubernetes тајни, крипто-паричници и .env фајлови; toolkit за латерално движење во Kubernetes кој деплојира привилегирани pod-ови на секој node; и перзистентен systemd бекдор (sysmon.service) кој комуницира со ‘checkmarx[.]zone/raw’ за дополнителни бинарни фајлови“, изјави истражувачот Кирајн Раџ од Endor Labs.

Како што е забележано и во претходни случаи, собраните податоци се ексфилтрираат како енкриптирана архива („tpcp.tar.gz“) кон command-and-control домен наречен „models.litellm[.]cloud“ преку HTTPS POST барање.

Кај верзијата 1.82.7, малициозниот код е вграден во фајлот „litellm/proxy/proxy_server.py“, при што инјекцијата е направена за време или по процесот на билд на wheel пакетот. Кодот е дизајниран да се извршува при вчитување на модулот, така што секој процес што го импортира „litellm.proxy.proxy_server“ го активира payload-от без потреба од било каква интеракција од корисникот.

Следната верзија додава „поагресивен вектор“ преку вклучување на малициозен „litellm_init.pth“ во root директориумот на wheel пакетот, што предизвикува логиката да се извршува автоматски при секое стартување на Python процес во околината, а не само кога се импортира litellm.

Друг аспект што ја прави верзијата 1.82.8 поопасна е тоа што .pth launcher-от стартува child Python процес преку subprocess.Popen, што овозможува payload-от да работи во позадина.

„Python .pth фајловите поставени во site-packages се обработуваат автоматски од site.py при стартување на интерпретерот“, велат од Endor Labs. „Фајлот содржи една линија која импортира subprocess и стартува одвоен Python процес за декодирање и извршување на истиот Base64 payload.“

Payload-от се декодира во оркестратор кој распакува алатка за собирање креденцијали и механизам за перзистентност (persistence dropper). Алатката за собирање креденцијали исто така го користи Kubernetes service account токенот (доколку постои) за да ги изброи сите јазли (nodes) во кластерот и да деплојира привилегиран pod на секој од нив. Потоа, pod-от прави chroot во host фајл-системот и го инсталира persistence dropper-от како systemd user сервис на секој јазол.

Systemd сервисот е конфигуриран да стартува Python скрипта („~/.config/sysmon/sysmon.py“) – истото име користено и при компромитацијата на Trivy – која се поврзува со „checkmarx[.]zone/raw“ на секои 50 минути за да преземе URL што води до следната фаза од payload-от. Доколку URL-то содржи youtube[.]com, скриптата го прекинува извршувањето – таканаречен „kill switch“ механизам, типичен за сите досега забележани инциденти.

„Оваа кампања речиси сигурно не е завршена,“ велат од Endor Labs. „TeamPCP покажа конзистентен шаблон: секоја компромитирана околина обезбедува креденцијали што овозможуваат пристап до следната цел. Преминот од CI/CD (GitHub Actions runner-и) кон продукција (PyPI пакети што работат во Kubernetes кластери) е намерна ескалација.“

Со најновиот развој, TeamPCP води агресивна supply chain нападна кампања што опфати пет екосистеми, вклучувајќи GitHub Actions, Docker Hub, npm, Open VSX и PyPI, со цел да го прошири својот опсег на таргетирање и да преземе контрола врз сè поголем број системи.

„TeamPCP ја ескалира координираната кампања насочена кон безбедносни алатки и open-source инфраструктура за развивачи, и сега отворено презема одговорност за повеќе последователни напади низ различни екосистеми,“ изјавија од Socket. „Ова е континуирана операција насочена кон клучни точки со големо влијание во софтверскиот supply chain.“

Во порака објавена на нивниот Telegram канал, TeamPCP изјави: „Овие компании се создадени да ги заштитат вашите supply chain-и, а не можат ни сопствените да ги заштитат. Состојбата на модерното безбедносно истражување е шега, па затоа ќе бидеме тука долго време, крадејќи терабајти трговски тајни со нашите нови партнери.“

„Ефектот на снежна топка од ова ќе биде огромен, веќе соработуваме со други тимови за да го продолжиме хаосот. Многу од вашите омилени безбедносни алатки и open-source проекти ќе бидат таргетирани во наредните месеци, затоа останете во тек,“ додаде заканувачкиот актер.

На корисниците им се препорачува да ги преземат следниве чекори за ограничување на заканата:

  • Да ги проверат сите околини за верзии 1.82.7 или 1.82.8 на litellm, и ако се пронајдат, да се вратат на чиста верзија
  • Да ги изолираат засегнатите системи
  • Да проверат дали има сомнителни (rogue) pod-ови во Kubernetes кластерите
  • Да ги прегледаат мрежните логови за излезен сообраќај кон „models.litellm[.]cloud“ и „checkmarx[.]zone“
  • Да ги отстранат механизмите за перзистентност
  • Да ги ревидираат CI/CD pipeline-ите за користење на алатки како Trivy и KICS во периодот на компромитација
  • Да ги поништат и ротираат сите компромитирани креденцијали

„Open-source supply chain-от се распаѓа сам по себе,“ изјави Гал Нагли, раководител за threat exposure во Wiz (во сопственост на Google), во објава на X. „Trivy е компромитиран → LiteLLM е компромитиран → креденцијали од десетици илјади околини завршуваат кај напаѓачите → и тие креденцијали водат до следната компромитација. Заглавени сме во циклус.“

Ажурирање

Во објава споделена на GitHub и Hacker News на Y Combinator, Berri AI, која го одржува litellm, потврди дека компромитацијата потекнува од зависност поврзана со Trivy безбедносен скен, при што ги повика корисниците да „ги ротираат СИТЕ креденцијали што биле присутни како environment variables или конфигурациски фајлови на било кој систем каде што бил инсталиран litellm 1.82.7+.“

Python Packaging Authority (PyPA) исто така издаде предупредување дека малициозните верзии собираат чувствителни креденцијали и фајлови и ги испраќаат (ексфилтрираат) до оддалечен сервер.

„Секој што го има инсталирано и извршено проектот треба да претпостави дека сите креденцијали достапни во litellm околината можеби се компромитирани и соодветно да ги поништи/ротира,“ изјавија од PyPA. „Засегнатата околина треба да се изолира и внимателно да се провери за неочекувани измени и мрежен сообраќај.“

Во она што изгледа како дополнителна ескалација на кампањата, се наведува дека TeamPCP соработува со познатата група за изнуда LAPSUS$, при што Wiz истакнува дека компромитацијата на litellm претставува cascade ефект низ целиот екосистем, таргетирајќи ја модерната cloud-native и AI инфраструктура. Според компанијата, litellm е присутен во 36% од сите cloud околини.

„Гледаме опасна конвергенција помеѓу напаѓачи на supply chain и високо-профилни групи за изнуда како LAPSUS$,“ изјави Бен Рид, водечки истражувач во Wiz.

„Со хоризонтално движење низ екосистемот – таргетирајќи алатки како liteLLM кои се присутни во повеќе од една третина од cloud околините – тие создаваат ‘snowball effect’. Ова не е изолиран инцидент; ова е системска кампања што бара безбедносните тимови да преземат акција и веројатно ќе продолжи да се шири.“

GitGuardian истакна дека кампањата покажува како нецелосното чистење може да претвори еден пробив во широка кампања што зафаќа повеќе екосистеми, нагласувајќи ја потребата од мониторинг на јавни GitHub репозиториуми, рано предупредување и ревизија на не-човечки идентитети за да се ограничи штетата.

„Тимовите треба брзо да детектираат изложени креденцијали, но детекцијата е само почеток,“ изјави истражувачот Гијом Валадон од GitGuardian. „Исто така треба да знаат до кои machine идентитети имало пристап од тој workflow, кои од тие тајни сè уште се активни, што отклучува секој креденцијал и кои треба прво да се ротираат за да се прекине движењето на напаѓачите.“

Овој развој доаѓа во момент кога лидерот на групата, познат под алијасот „DMT“, објави дека се повлекува, наведувајќи дека неговата работа е „во голема мера завршена“ и дека „работењето во состојба на burnout постојано влијае негативно на неговото ментално здравје, што не може да си го дозволи во моментов.“ Тој додаде: „Ова не значи дека групата завршува, тие се многу способни, јас само повеќе не сум дел од неа.“

TeamPCP во меѓувреме отвори и профил на X под името @pcpcats. „DMT се повлекува, но групата ќе продолжи силно – тука сме да останеме,“ соопштија тие во објава.

Извори:

  • The Hacker News – TeamPCP Backdoors LiteLLM Versions 1.82.7–1.82.8 via Trivy CI/CD Compromise The Hacker News