一次复杂的供应链攻击compromise了流行的LiteLLM Python库的两个版本,植入恶意软件以窃取敏感的开发者凭据,包括加密货币钱包和云密钥。这起由名为TeamPCP的组织策划的事件,凸显了无数项目所依赖的开源软件生态系统中日益升级的风险。
1.82.7和1.82.8 版本发布到Python Package Index (PyPI)。.env文件,并将其外泄到攻击者控制的服务器。
流行的LiteLLM Python库(一款每月下载量达9700万次的工具)的两个版本在一次供应链攻击中被compromise,这带来了加密货币钱包和云凭据被盗的风险。3月24日,一个名为TeamPCP的威胁行为者在Python Package Index (PyPI)上发布了恶意版本1.82.7和1.82.8。植入的恶意软件是一个多阶段的有效载荷,旨在从安装了受compromise软件包的任何环境中窃取敏感数据,包括SSH密钥、Kubernetes机密以及加密钱包的私钥。
第二个恶意版本1.82.8引入了一种更具侵略性的攻击向量,使用.pth文件。这种技术允许恶意代码在Python解释器启动时自动执行,而无需等待LiteLLM库被开发者的代码显式导入。这显著扩大了攻击范围和其在受感染系统上持久存在的能力。
LiteLLM的compromise并非直接攻击,而是源于其开发基础设施的连锁故障。攻击者首先subvert了LiteLLM持续集成/持续交付(CI/CD)管道中使用的开源漏洞扫描器Trivy。通过在3月19日和3月22日发布恶意Trivy版本,TeamPCP利用配置错误窃取了LiteLLM项目的特权访问令牌。
凭借窃取的凭据,攻击者得以将后门LiteLLM软件包直接发布到PyPI。安全研究人员发现,被窃取的数据以加密档案的形式发送到攻击者控制的命令与控制域名models.litellm[.]cloud。此外,还安装了一个持久性后门,每50分钟轮询一次单独的域名checkmarx[.]zone以获取新命令或有效载荷,这表明了长期的入侵策略。
LiteLLM事件是TeamPCP针对关键开发者基础设施发起的一场蓄意且不断升级的行动的一部分。该组织已在其Telegram频道上公开承认了此次攻击,并表示将继续针对流行工具发起攻击并加剧混乱。这使得此次事件从单一项目泄露升级为对开源软件供应链的系统性威胁。
开源供应链正在自我崩溃。Trivy被compromise → LiteLLM被compromise → 数万个环境的凭据落入攻击者手中 → 这些凭据导致下一次compromise。我们陷入了一个循环。
— Google旗下Wiz威胁暴露主管Gal Nagli。
这种妥协循环,即从一次攻击中窃取的凭据被用于发起下一次攻击,产生了显著的雪球效应。对于Web3领域的投资者和开发者而言,此次攻击破坏了对基础开发工具安全性的信任,并增加了依赖开源生态系统的项目的运营风险。