以前に大規模なサプライチェーン攻撃に関連していた脅威グループであるTeamPCPは、PyPI上で広く使用されているPythonライブラリであるlitellmに侵入し、月間9500万ダウンロード以上のパッケージに影響を与えました。
本インシデントは、Aqua SecurityのTrivyとCheckmarxのKICSツールの以前の侵害に続く、開発者およびセキュリティエコシステムを標的とした同グループのキャンペーンの別のエスカレーションを示しています。
セキュリティ研究者は、2026年3月24日に公開されたlitellmのバージョン1.82.7および1.82.8が、埋め込まれたマルウェアでトロイの木馬化されていることを特定しました。
複数の大規模言語モデル(LLM)プロバイダー全体のAPI呼び出しを統一するために一般的に使用されるこのライブラリは、開発者環境への効果的なエントリーポイントになりました。
バージョン1.82.7では、攻撃者はproxy_server.pyファイルに12行の難読化されたbase64ペイロードを挿入しました。
exec()のような簡単に検出可能な関数を使用する代わりに、コードは自らをデコードし、一時ファイルに書き込み、サブプロセスを介して実行し、静的分析ツールを回避しました。
ペイロードはライブラリのインポート時に直ちに実行されました。
Pythonはインタープリタの起動時に.pthファイルを自動的に実行し、litellmが直接インポートされることがない場合でも、Pythonスクリプトが実行されるたびにマルウェアがバックグラウンドで静かに実行されることを可能にします。
マルウェアは、永続化、認証情報盗取、および横展開を目的とした構造化された3段階のペイロードを通じて動作します。
ステージ1はオーケストレータとして機能します。隠されたスクリプトをデコードし、機密データを収集し、AES-256-CBCおよびRSA-4096を使用して暗号化し、tpcp.tar.gzという名前のアーカイブにパッケージ化します。
アーカイブは、正当なドメインmodels.litellm.cloudに偽装した攻撃者が管理するインフラストラクチャに流出されます。
ステージ2は認証情報の収集と拡張に焦点を当てています。マルウェアは侵害されたシステムをSSHキー、クラウド認証情報(AWS、Azure、GCP)、CI/CDシークレット、.envファイル、および暗号資産ウォレットについてスキャンします。
特に、AWS SigV4リクエスト署名が含まれており、AWS Secrets Managerとの直接的な相互作用を可能にします。
Kubernetesサービスアカウントトークンが発見された場合、マルウェアはクラスター全体に特権ポッドをデプロイし、ホストファイルシステムをマウントして完全な制御を獲得します。
ステージ3は永続化を確立します。「System Telemetry Service」という名前のsystemdユーザーサービスがインストールされ、PostgreSQL関連のプロセス(/tmp/pglog)に偽装します。
バックドアは50分ごとにコマンド&コントロールサーバーと通信し、ローカルステートファイルをチェックし、分析中の検出を避けるために「youtube.com」キルスイッチを使用します。
組織は本インシデントを重大なサプライチェーン侵害として扱い、直ちに環境のエクスポージャーを監査する必要があります。
このキャンペーンは、認証情報を収集し、GitHub Actions、Docker Hub、npm、OpenVSX、およびPyPIを含むエコシステム全体でピボットするために、高信頼デベロッパーツールを標的とするTeamPCPのより広い戦略を反映しています。
この攻撃の規模と洗練さは、オープンソースサプライチェーン内の増大するリスクを強調しており、単一の侵害された依存関係が数百万のシステム全体にカスケードする可能性があります。
翻訳元: https://cyberpress.org/teampcp-litellm-package/