一次複雜的供應鏈攻擊compromise了流行的LiteLLM Python函式庫的兩個版本,植入惡意軟體以竊取敏感的開發者憑證,包括加密貨幣錢包和雲密鑰。這起由名為TeamPCP的組織策劃的事件,凸顯了無數專案所依賴的開源軟體生態系統中日益升級的風險。
1.82.7和1.82.8 版本發布到Python Package Index (PyPI)。.env檔案,並將其外洩到攻擊者控制的伺服器。
流行的LiteLLM Python函式庫(一款每月下載量達9700萬次的工具)的兩個版本在一次供應鏈攻擊中被compromise,這帶來了加密貨幣錢包和雲憑證被盜的風險。3月24日,一個名為TeamPCP的威脅行為者在Python Package Index (PyPI)上發布了惡意版本1.82.7和1.82.8。植入的惡意軟體是一個多階段的有效載荷,旨在從安裝了受compromise套件的任何環境中竊取敏感資料,包括SSH密鑰、Kubernetes機密以及加密錢包的私鑰。
第二個惡意版本1.82.8引入了一種更具侵略性的攻擊向量,使用.pth檔案。這種技術允許惡意程式碼在Python解釋器啟動時自動執行,而無需等待LiteLLM函式庫被開發者的程式碼顯式匯入。這顯著擴大了攻擊範圍和其在受感染系統上持久存在的能力。
LiteLLM的compromise並非直接攻擊,而是源於其開發基礎設施的連鎖故障。攻擊者首先subvert了LiteLLM持續整合/持續交付(CI/CD)管道中使用的開源漏洞掃描器Trivy。透過在3月19日和3月22日發布惡意Trivy版本,TeamPCP利用配置錯誤竊取了LiteLLM專案的特權存取令牌。
憑藉竊取的憑證,攻擊者得以將後門LiteLLM套件直接發布到PyPI。安全研究人員發現,被竊取的資料以加密檔案的形式發送到攻擊者控制的命令與控制域名models.litellm[.]cloud。此外,還安裝了一個持久性後門,每50分鐘輪詢一次單獨的域名checkmarx[.]zone以獲取新命令或有效載荷,這表明了長期的入侵策略。
LiteLLM事件是TeamPCP針對關鍵開發者基礎設施發起的一場蓄意且不斷升級的行動的一部分。該組織已在其Telegram頻道上公開承認了此次攻擊,並表示將繼續針對流行工具發起攻擊並加劇混亂。這使得此次事件從單一專案洩露升級為對開源軟體供應鏈的系統性威脅。
開源供應鏈正在自我崩潰。Trivy被compromise → LiteLLM被compromise → 數萬個環境的憑證落入攻擊者手中 → 這些憑證導致下一次compromise。我們陷入了一個循環。
— Google旗下Wiz威脅暴露主管Gal Nagli。
這種妥協循環,即從一次攻擊中竊取的憑證被用於發起下一次攻擊,產生了顯著的雪球效應。對於Web3領域的投資者和開發者而言,此次攻擊破壞了對基礎開發工具安全性的信任,並增加了依賴開源生態系統的專案的營運風險。