Atacurile asupra lanțului de aprovizionare software devin tot mai sofisticate, iar incidentul recent care implică pachetul LiteLLM de pe PyPI marchează unul dintre cele mai grave evenimente de securitate din ecosistemul Python. Grupul de atacatori TeamPCP, cunoscut pentru compromiterea unor proiecte precum Trivy și KICS, a reușit să infiltreze cod malițios în două versiuni ale pachetului LiteLLM, utilizat în peste 95 de milioane de descărcări lunare.
Ce s-a întâmplat cu LiteLLM
Versiunile 1.82.7 și 1.82.8 ale pachetului LiteLLM publicate pe PyPI au fost modificate pentru a include un backdoor avansat. Codul malițios nu exista în repository-ul oficial GitHub, ceea ce confirmă un atac asupra lanțului de distribuție, nu asupra dezvoltatorilor originali.
Versiunea 1.82.7
- include un payload ascuns în proxy_server.py;
- execută cod malițios imediat la import.
Versiunea 1.82.8
- adaugă un fișier .pth care rulează automat la fiecare pornire Python;
- funcționează chiar dacă LiteLLM nu este importat;
- oferă atacatorilor persistență și execuție invizibilă.
Ce face malware-ul TeamPCP
Atacul este împărțit în trei componente principale:
1. Orchestrator
- lansează colectorul de credențiale;
- criptează datele cu AES + RSA;
- le trimite către domeniul controlat de atacatori: models.litellm.cloud
2. Colector de credențiale
Extrage masiv:
- chei SSH,
- tokenuri cloud (AWS, GCP, Azure),
- secrete Kubernetes,
- parole de baze de date,
- fișiere .env,
- portofele crypto,
- istorice shell.
În medii Kubernetes, încearcă:
- crearea de poduri privilegiate,
- montarea filesystem-ului gazdă,
- mișcare laterală și persistență.
3. Backdoor persistent
- instalează un serviciu systemd fals numit System Telemetry Service;
- contactează periodic un server C2 pentru comenzi suplimentare.
Cine este TeamPCP
Grupul TeamPCP este responsabil pentru o serie de atacuri coordonate asupra ecosistemelor open-source:
- Trivy (28 februarie)
- npm, Docker Hub, OpenVSX (19–23 martie)
- KICS (23 martie)
- LiteLLM (24 martie)
Acesta este al cincilea ecosistem compromis într-o singură lună, indicând o campanie masivă și bine organizată.
Cum verifici dacă ești afectat
1. Verifică versiunea LiteLLM
Dacă ai instalat:
- litellm==1.82.7
- litellm==1.82.8
sistemul tău poate fi compromis.
2. Caută fișiere suspecte
- litellm_init.pth
- ~/.config/sysmon/sysmon.py
- ~/.config/systemd/user/sysmon.service
- /tmp/pglog
3. În Kubernetes
Caută poduri:
- node-setup-* în namespace-ul kube-system.
Dacă găsești oricare dintre aceste elemente, tratează sistemul ca total compromis și rotește imediat toate credențialele.
Ce urmează: evaluarea riscurilor
Experții estimează că TeamPCP va continua:
- extinderea atacurilor către RubyGems, crates.io și Maven Central;
- compromiterea mediilor de producție, nu doar CI/CD;
- dezvoltarea unui posibil „worm” pentru PyPI.
Concluzie
Compromiterea LiteLLM reprezintă un semnal de alarmă pentru întreaga industrie. Atacurile asupra lanțului de aprovizionare devin tot mai frecvente, iar proiectele open-source populare sunt ținte ideale. Organizațiile trebuie să implementeze controale stricte de verificare a pachetelor, monitorizare continuă și rotație periodică a credențialelor.
