月間9,500万以上のダウンロード数を誇る広く使用されているPythonパッケージが、認証情報盗聴型マルウェアで侵害されました。これはTeamPCP脅威グループにリンクされた継続中の供給チェーンキャンペーンを拡大しています。
新たに発見された侵害はPyPI上のLiteLLMパッケージに影響を与え、Trivy脆弱性スキャナーとDocker Hubを通じて配布された悪意のあるDockerイメージに関連する以前のインシデントに続いています。
侵害されたLiteLLMバージョン1.82.7および1.82.8は2026年3月24日にアップロードされ、認証情報を収集し、Kubernetesの環境全体で横展開し、永続的なバックドアをインストールするよう設計された隠しマルウェアを含んでいました。両方の悪意のあるバージョンはPyPIから削除されており、バージョン1.82.6が現在のところ最後のクリーンリリースと見なされています。
Endor Labsのセキュリティ研究者によると、悪意のあるコードはパッケージの特定のコンポーネントがインポートされるときに自動的に実行され、後のバージョンではPythonプロセスが影響を受けた環境で起動するときはいつでも実行される、より積極的なメカニズムが導入されました。これは、パッケージが積極的に使用されていなくても、マルウェアがバックグラウンドで静かに実行される可能性があることを意味していました。
認証情報盗聴と永続化のために設計されたマルウェア
Jfrogの研究者による分析では、マルウェアは3段階で動作し、パッケージファイル内に埋め込まれた隠しペイロードから始まることが示されました。トリガーされると、マルウェアはシステムから機密情報を収集し、Kubernetesクラスター全体に拡散を試みた後、永続的なシステムサービスバックドアをインストールしました。
マルウェアは以下を含む広範な機密データを収集しました。
-
SSHキーと設定ファイル
-
AWS、GCP、Azureからのクラウド認証情報
-
Kubernetesシークレットと設定ファイル
-
データベース認証情報と環境ファイル
-
暗号通貨ウォレット
-
TLSおよびSSLプライベートキー
-
シェル履歴とシステム認証ファイル
ソフトウェア供給チェーン攻撃について詳しく読む:精密さがソフトウェア供給チェーン攻撃の新しい戦術になっている
盗まれたデータは暗号化され、攻撃者が管理するインフラストラクチャに送信されました。これにより検出が困難になり、攻撃者が永続的なバックドアを通じて侵害された環境に後からアクセスできるようになりました。
継続中のTeamPCP供給チェーン攻撃にリンク
研究者は、この侵害を、前述のTrivy侵害とそれに続く悪意のあるDockerイメージにリンクされた同じ脅威グループであるTeamPCPに帰属させました。
このグループは、GitHub Actions、Docker Hub、npm、OpenVSX、PyPIを含むいくつかの開発者エコシステムを対象とした多段階の供給チェーンキャンペーンを実行しているのが観察されています。
「おそらく数千の下流環境全体にわたって盗まれた認証情報の量を考えると、来週の数週間でブリーチ開示、フォローオン侵入、恐喝の試みの増加を予想してください」と、FBIサイバー部門次長のBrett Leatherman氏は本日LinkedInに投稿しました。
捜査官は、攻撃者が開発者およびセキュリティツールを意図的に標的にしていると考えており、これらはしばしば昇格された特権で実行され、機密の認証情報とインフラストラクチャにアクセスできるためです。
セキュリティ専門家は、影響を受けたLiteLLMバージョンをインストールした組織は、認証情報が公開されたと想定し、すべてのシークレットをローテーションし、侵害の兆候がないか、システムをレビューすべきだと警告しました。
翻訳元: https://www.infosecurity-magazine.com/news/teampcp-litellm-pypi-supply-chain/
