概要

セキュリティ研究者が、人気のあるPythonライブラリlitellmがPyPIで不正に操作されたことを発見しました。このオープンソースツールは、開発者向けの単一APIを通じてさまざまなLLMプロバイダー間での要求ルーティングを助けます。

脅威アクターであるTeamPCPは、バージョン1.82.7と1.82.8に不正なコードを注入しました。この供給チェーン攻撃は、Aqua SecurityのTrivyやCheckmarxのKICSなど、同グループによる最近の大規模なハッキングの一環です。

攻撃の詳細

TeamPCPは、2つの異なる方法を使用してマルウェアをトリガーしました。バージョン1.82.7では、proxy_server.pyファイルに隠されたbase64コードが注入されました。

攻撃のステージ

• ステージ1: オーケストレーター
• ステージ2: 資格情報収集と横展開
• ステージ3: 永続的なバックドア

影響範囲と対策

組織は、以下のインジケーターオブコムプローション（IoCs）を確認し、被害を受けたバージョンのlitellmから回復する必要があります。

• 不正なバージョン: litellm 1.82.7と1.82.8
• 安全なバージョン: litellm 1.82.6にロールバック
• C&Cドメイン: models.litellm.cloudとcheckmarx.zoneをブロック
• 不正ファイル: ~/.config/sysmon/sysmon.pyおよび~/.config/systemd/user/sysmon.serviceの存在を確認
• エクスフィルレーションアーティファクト: tpcp.tar.gzアーカイブの無効な作成を検索

元記事: https://gbhackers.com/compromised-litellm-package-with-95m-downloads/