サプライチェーン攻撃が急増しており、脅威アクターたちは人工知能インフラへと標的を向けつつある。
高度に洗練されたキャンペーンにおいて、 TeamPCPと呼ばれる脅威アクターグループが悪用したのは、広く利用されているオープンソースのPythonライブラリ「LiteLLM」であり、それを密かな認証情報窃取ツールへと変貌させた。
LiteLLMは100以上のAIプロバイダーへの統合ゲートウェイとして機能しているため、一度の侵害によって攻撃者は多数のクラウドプラットフォームおよび開発者環境に同時アクセスできる状態となった。
この侵害は、人気の脆弱性スキャナーであるTrivyへの先行攻撃から始まった。ハッカーたちは正規のメンテナーの身元を詐称し、悪意あるバージョンをTrivyのGitHubリポジトリにプッシュした。
LiteLLMのCI/CDパイプラインが侵害されたTrivyスキャナーを使用した際、マルウェアはランナーのメモリをスキャンしてPYPI_PUBLISHトークンを窃取した。
この盗んだトークンを使用し、TeamPCPはLiteLLMのソースコードリポジトリを完全に迂回して、2つの悪意あるパッケージバージョンを公開した。
バージョン1.82.7は、Base64エンコードされたソースをproxy_server.pyファイルに直接インジェクションする手法を使用しており、LiteLLMプロキシの起動と同時に実行される。
バージョン1.82.8は、litelllm_init.pthをsite-packagesディレクトリに追加するファイルインジェクション手法を使用しており、明示的なインポートを必要とせずPythonインタープリタの起動時に有効化される。
汚染されたLiteLLMパッケージが実行されると、積極的なデータ収集、安全な外部送信、そして長期的な持続化を目的とした3段階のペイロードが展開される。
マルウェアは直ちに高度に機密性の高い環境変数やクラウド設定ファイルを探索する。認証情報窃取に使用されるURLは現在分類済みであり、主要なセキュリティベンダーは悪意あるPyPIバージョンのハッシュをブロックしている。
データ収集の対象は、AIプロバイダーのキー(OpenAI、Anthropic、Azure)、クラウドメタデータ(AWS、GCP、Azure)、および~/.kube/configなどのローカル設定ファイルである。
窃取されたデータはAES-256-CBCで暗号化され、tarファイルにアーカイブされた後、curlを介して悪意あるサーバーへ送信される。
持続化は、リモートコード実行バックドアを確立するSysmon.pyスクリプトを設置することと、50分ごとにコマンド&コントロールサーバーへ新たなペイロードを確認することによって実現される。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/teampcp-weaponizes-litellm/
