TeamPCPがAIサプライチェーン攻撃でLiteLLMを侵害

オープンソースAIエコシステムを標的としたサプライチェーン攻撃は、脅威アクターが開発者ツールやAIインフラを悪用して認証情報を窃取し、クラウド環境を侵害するケースが増加していることを示しています。 

研究者らは、TeamPCPがLiteLLMを侵害したことを発見しました。LiteLLMは、OpenAI互換APIを通じてアプリケーションを100以上のLLMプロバイダーに接続する、広く使用されているオープンソースのPythonライブラリです。  

この攻撃では、悪意のあるLiteLLMパッケージを利用して、AIプラットフォーム、クラウドサービス、Kubernetes環境、開発者パイプラインに紐付いた認証情報が窃取されたと報告されています。 

TeamPCP調査の主要な知見

• TeamPCPはAI開発インフラを標的とするソフトウェアサプライチェーン攻撃を通じてLiteLLMを侵害した。
• 攻撃者はまずTrivyを汚染してCI/CDパイプラインのトークンを窃取し、悪意のあるLiteLLMパッケージをPyPIに公開した。
• 悪意のあるLiteLLMバージョンは、ソースインジェクションと隠密な.pthファイル実行技術を永続化に利用した。
• マルウェアはOpenAI、Anthropic、Azure、AWS、Kubernetes、および開発者環境に紐付いた認証情報を標的とした。
• 今回のインシデントは、AIエコシステム、CI/CDパイプライン、信頼されたオープンソース依存関係全体にわたるリスクの増大を浮き彫りにしている。

攻撃はTrivyの侵害から始まった

分析によると、侵害はLiteLLM自体が標的とされる前から始まっていた。 

TeamPCPはまず、多くのCI/CDパイプラインに組み込まれている脆弱性スキャナーであるTrivyを侵害した。 

攻撃者は偽装されたメンテナーのアイデンティティと偽装コミットを利用してTrivyリポジトリを汚染し、GitHub Releases、Docker Hub、Amazon ECRを通じて悪意のあるバイナリを配布したと報告されています。 

LiteLLMはCI/CDパイプライン内でTrivyを使用していたため、侵害されたスキャナーはビルド環境から機密トークンを収集することができた。 

研究者らによると、マルウェアはCI/CDランナーメモリからLiteLLMのPYPI_PUBLISHトークンを直接抽出し、公式ソースコードリポジトリ自体を侵害することなく、悪意のあるLiteLLMパッケージを公開することを可能にしたという。

窃取した認証情報を使用して、TeamPCPは悪意のあるLiteLLMバージョンをPyPIにプッシュした。

2種類の異なるマルウェアインジェクション手法

攻撃者は各悪意のあるパッケージバージョンで異なるマルウェア配布技術を使用した。

LiteLLMバージョン1.82.7は、proxy_server.pyファイルにBase64エンコードされたペイロードを埋め込むダイレクトソースインジェクションを使用し、LiteLLMプロキシサービスの起動時に実行されたと報告されています。

バージョン1.82.8は、Pythonのsite-packagesディレクトリ内に配置されたlitelllm_init.pthという名前の悪意のある.pthファイルを利用する、より隠密な永続化技術を使用した。 

.pthファイルはPythonインタープリタの起動時に自動的に実行されるため、アプリケーションがLiteLLMを明示的にインポートしていなくてもマルウェアが実行される可能性があった。

研究者らは、LiteLLM 1.82.8を単純にインストールするだけで、影響を受けたホスト上のその後のすべてのPythonプロセスにペイロードが活性化されたと指摘した。

認証情報の窃取と永続化

マルウェアは認証情報の収集と永続化に重点を置いていた。 

分析によると、ペイロードは主要なAIプロバイダーおよびクラウドサービスに関連する環境変数と設定ファイルをシステム上でスキャンした。

標的となった認証情報には、OpenAI、Anthropic、Azure AIサービス向けのAPIキーのほか、AWS、Google Cloud、Microsoft Azure環境に紐付いたクラウド認証情報が含まれていたと報告されています。 

マルウェアはまた、ユーザーのホームディレクトリ内に保存されたKubernetes設定ファイルやAW認証情報ファイルなどのローカル設定ファイルの抽出も試みた。

データ収集後、マルウェアは情報を暗号化してから圧縮アーカイブにパッケージ化し、外部への持ち出しに備えた。 

データはその後、キャンペーンに関連する攻撃者が制御するリモートドメインに送信された。

マルウェアはまた、追加のペイロードと実行命令を受け取るために第二のコマンド＆コントロールエンドポイントに定期的に接続するポーリングベースのリモートコード実行バックドアを使用して永続化を確立した。

組織がAIサプライチェーンリスクを低減する方法 

ソフトウェアサプライチェーン攻撃が開発者ツールやAIエコシステムに影響を与え続ける中、組織はビルドパイプラインと依存関係ワークフローのセキュリティ強化にますます注力しています。 

セキュリティチームは、認証情報の露出を減らし、パッケージの整合性を検証し、開発者アクティビティへの可視性を高め、潜在的なサプライチェーンインシデントへの備えを優先すべきです。 

• CI/CDパイプライン、パッケージリポジトリ、開発者環境を監視し、不正なパッケージ変更、不審な公開アクティビティ、異常な認証動作を検出する。
• 公開トークン、APIキー、クラウド認証情報へのアクセスを制限し、開発者およびビルドシステム全体で最小権限とMFAを徹底する。
• 署名されたリリース、チェックサム検証、依存関係スキャン、およびソフトウェアコンポジション分析（SCA）ツールを使用して、デプロイ前にパッケージの整合性を検証する。
• ビルド環境をセグメント化し、不必要なアウトバウンド接続を制限し、CI/CDランナーからの認証情報の露出と横展開のリスクを軽減する。
• Pythonパッケージ、AIライブラリ、オープンソース依存関係を継続的に監視し、悪意のある更新、タイポスクワッティング、予期しないインストール動作を検出する。
• エンドポイントの可視性と行動検知能力を強化し、認証情報の窃取、永続化メカニズム、不審なPythonインタープリタのアクティビティを識別する。
• ソフトウェアサプライチェーンの侵害、悪意のあるパッケージ、CI/CDパイプラインの侵害を含むインシデント対応、封じ込め、復旧計画を定期的にテストする。

これらの対策を総合的に実施することで、組織はソフトウェアサプライチェーンの露出を低減し、運用上のレジリエンスを強化することができます。 

AIインフラが新たな攻撃対象に

LiteLLMの侵害は、攻撃者が信頼された開発者ツールやCI/CD環境をますます標的とする中で、AIインフラとソフトウェアサプライチェーンが直面するリスクの増大を浮き彫りにしています。 

LiteLLMは複数のAIプロバイダーへのゲートウェイとして機能しているため、単一の侵害によってOpenAI、Anthropic、Azureおよびその他の接続されたサービスに紐付いた認証情報が露出する可能性があります。 

今回のインシデントはまた、攻撃者がソフトウェアパイプライン内の信頼関係を悪用し、Trivyの先行侵害を利用して正規のリポジトリや下流の開発環境を通じて悪意のあるパッケージを配布できることを示しています。 

組織がAI開発パイプラインや信頼されたソフトウェアエコシステム全体のリスク低減に取り組む中、アクセス制御、セグメンテーション、アイデンティティセキュリティの強化を支援するためにゼロトラスト戦略を採用する動きが広がっています。