セキュリティ研究者は、人気のあるPythonライブラリであるlitellmがPyPI上で侵害されたことを発見しました。
月間95百万以上のダウンロード数を持つこのオープンソースツールは、開発者が単一のAPIを通じてさまざまなLLMプロバイダー全体にリクエストをルーティングするのに役立ちます。
TeamPCPとして特定された脅威アクターは、バージョン1.82.7および1.82.8に悪意のあるコードを注入しました。
この壊滅的なサプライチェーン攻撃は、グループの最近のハイプロファイルなAqua SecurityのTrivyおよびCheckmarxのKICSの侵害に直結しています。
このグループは、CanisterWormのようなワームを展開して侵害されたnpmアカウント経由でトークンを盗くことにより、オープンソースエコシステムをターゲットにすることで悪名高いです。
感染チェーン
攻撃者は、マルウェアをトリガーするために2つの異なる方法を使用しました。バージョン1.82.7では、proxy_server.pyファイルに12行の隠されたBase64コードを注入しました。
静的分析ツールを回避するために、exec()のような一般的なレッドフラグを避け、代わりにデコードされたスクリプトを一時ファイルに書き込み、サブプロセスを介して実行しました。このペイロードは開発者がライブラリをインポートした瞬間に実行されます。
バージョン1.82.8は、より積極的です。インストールのルートに配置された悪意のあるlitellm_init.pthファイルが含まれています。
Pythonがインタープリタスタートアップで.pthファイルを自動的に処理する方法のため、その環境で任意のPythonスクリプトが実行されるたびに、マルウェアはバックグラウンドで静かに切り離されたPythonプロセスを起動します。
つまり、litellm自体がユーザーによって明示的にインポートされることはなくても、マルウェアが起動することを意味します。
3段階のペイロード
トリガーされると、マルウェアは非常に高度な3段階の攻撃を起動します。
段階1: オーケストレーター
オーケストレーターは隠されたスクリプトをデコードし、データ流出の準備をします。堅牢なAES-256-CBCおよびRSA-4096スキームを使用して盗まれたファイルを暗号化し、tpcp.tar.gzという名前のアーカイブにバンドルして、正当なプロジェクトサイト(models.litellm.cloud)になりすましている攻撃者制御ドメインに送信します。
段階2: 認証情報ハーベスターとラテラルムーブメント
マルウェアは、侵害されたシステムから機密データを積極的に検索します。SSHキー、AWS/GCP/Azureクラウドトークン、CI/CDシークレット、.envファイル、および暗号通貨ウォレットをターゲットにします。
ハーベスターはAWS Secrets Managerから直接データを取得するために、完全なAWS SigV4署名を実装しています。
Kubernetesサービスアカウントトークンを見つけた場合、クラスター内のすべてのノードに高い権限を持つポッドを展開し、ホスト全体のファイルシステムをマウントして完全な管理制御を取得します。
段階3: 永続的なバックドア
最後に、マルウェアは「System Telemetry Service」という名前のsystemdユーザーサービスをインストールします。このバックドアはプロセスリストで隠すためにPostgreSQLプロセス(/tmp/pglog)になりすまします。
攻撃者のcommand and control (C2)サーバーに50分ごとに接続して追加ペイロードをダウンロードし、実行前にローカルステートファイルと「youtube.com」キルスイッチをチェックします。
このブリーチは、TeamPCPによる大規模で月間に及ぶサプライチェーンキャンペーンの一部です。グループは、これらの環境が貴重な管理認証情報を保持しているため、セキュリティおよび開発者ツールを体系的にターゲットにしました。
1つの侵害されたシステムからシークレットを盗むことで、次を攻撃するためにピボットします。彼らのターゲットはGitHub Actions、Docker Hub、npmパッケージ、OpenVSX、および現在PyPIにわたって急速に拡大しました。
Endor Labsによると、バージョン1.82.7とより危険な1.82.8をリリースするまでのわずか13分のギャップは、攻撃者がリアルタイムでアクティブにマルウェアを反復していることを示しています。
影響を受けたバージョンと指標
litellmを使用している組織は、環境をすぐに確認し、以下の侵害の兆候を探す必要があります。
- 悪意のあるバージョン: litellm 1.82.7および1.82.8(2026年3月24日公開、その後PyPIから削除)。
- 安全なバージョン: セキュリティ研究者によってクリーンであることが確認されているlitellm 1.82.6にロールバックしてください。
- Command and Control (C2)ドメイン: ネットワークの境界でmodels.litellm.cloudおよびcheckmarx.zoneをブロックしてください。
- 悪意のあるファイル: ~/.config/sysmon/sysmon.pyおよび~/.config/systemd/user/sysmon.serviceの存在を確認してください。
- 流出アーティファクト: 一時ディレクトリでtpcp.tar.gzアーカイブの不正な作成がないか確認してください。
翻訳元: https://gbhackers.com/compromised-litellm-package-with-95m-downloads/
