TeamPCP kompromittiert LiteLLM-Paket in PyPI-Attacke

Eine koordinierte Cyberattacke hat die Open-Source-Gemeinschaft erschüttert. Am 24. März veröffentlichte die Hackergruppe TeamPCP manipulierte Versionen des beliebten LiteLLM-Pakets auf PyPI, die Zugangsdaten gestohlen haben.

Die bösartigen Versionen 1.82.7 und 1.82.8 waren darauf ausgelegt, sensible Informationen wie SSH-Schlüssel, Cloud-Zugangsdaten und LLM-API-Schlüssel zu entwenden. PyPI stellte die Pakete nach etwa drei Stunden unter Quarantäne. Doch der Schaden war möglicherweise bereits angerichtet.

Der Diebstahl von LLM-API-Schlüsseln zeigt, wie verwundbar moderne KI-Infrastrukturen sind – dieser kostenlose Leitfaden hilft Ihnen, die komplexen Anforderungen der neuen EU-KI-Gesetze rechtssicher umzusetzen. Kostenloses E-Book zur KI-Verordnung herunterladen

Wie die Angreifer die CI/CD-Pipeline kaperten

TeamPCP erlangte zunächst Zugriff auf die PyPI-Zugangsdaten der LiteLLM-Betreuer. Dazu nutzte die Gruppe eine kompromittierte Trivy GitHub Action in der CI/CD-Pipeline von LiteLLM aus. Diese Vorgehensweise ermöglichte es ihnen, die schädlichen Versionen direkt auf PyPI hochzuladen – ohne dass Änderungen im offiziellen GitHub-Repository sichtbar waren.

LiteLLM ist eine populäre Abstraktionsschicht für die Interaktion mit großen Sprachmodellen und wird täglich millionenfach heruntergeladen. Als Vermittler von API-Schlüsseln für Anbieter wie OpenAI, Anthropic oder Azure war das Paket ein äußerst attraktives Ziel. Die exponierte Position machte eine Kompromittierung besonders schwerwiegend.

Zwei gefährliche Infiltrationsmethoden im Einsatz

Die Cyberkriminellen nutzten zwei unterschiedliche Injektionsmethoden. Bei Version 1.82.7 wurde der Schadcode als Base64-kodierte Nutzlast direkt in die Datei litellm/proxy/proxy_server.py eingebettet. Dieser Code wurde ausgeführt, sobald litellm.proxy importiert wurde.

Noch aggressiver war die Methode bei Version 1.82.8. Hier fügten die Angreifer eine .pth-Datei namens litellm_init.pth zum site-packages/-Verzeichnis hinzu. Diese spezielle Dateierweiterung hat zur Folge, dass der bösartige Code bei jedem Start des Python-Interpreters automatisch ausgeführt wird – selbst wenn LiteLLM nicht explizit importiert wird.

Was die Malware stahl und wie sie sich ausbreitete

Der mehrstufige Payload war darauf ausgelegt, eine breite Palette sensibler Daten zu stehlen: SSH-Schlüssel, Cloud-Anmeldeinformationen für AWS, GCP und Azure, LLM-API-Schlüssel, .env-Dateien, Datenbankpasswörter und Kryptowährung-Wallets.

Darüber hinaus zielte die Malware darauf ab, Kubernetes-Secrets zu exfiltrieren und sich in Kubernetes-Clustern lateral auszubreiten. Dazu stellte sie privilegierte Pods auf jedem Knoten bereit. Eine persistente Systemd-Backdoor wurde ebenfalls installiert, um weiteren Zugriff zu ermöglichen.

Teil einer größeren Angriffsserie

Die TeamPCP-Angriffe auf LiteLLM sind Teil einer größeren Serie von Supply-Chain-Attacken. Die Gruppe war bereits für die Kompromittierung des Trivy-Sicherheitsscanners von Aqua Security am 19. März und der Checkmarx KICS GitHub Action am 23. März verantwortlich.

Die Angreifer nutzten eine ausgeklügelte Taktik, um ihre Spuren zu verwischen. Sie verschlüsselten gestohlene Daten und sendeten sie an eine von ihnen kontrollierte Domain, https://models.litellm.cloud/, die nicht mit der legitimen LiteLLM-Domain litellm.ai in Verbindung steht.

Da Angriffe auf die Software-Lieferkette immer raffinierter werden, müssen Unternehmen ihre Verteidigungsstrategien proaktiv verstärken. Dieser Experten-Report zeigt Ihnen effektive Maßnahmen zum Schutz Ihrer IT-Infrastruktur ohne Budget-Explosion. Kostenlosen Cyber-Security-Leitfaden sichern

Was betroffene Organisationen jetzt tun müssen

Angesichts der weiten Verbreitung von LiteLLM mit über 95 Millionen monatlichen Downloads könnten die Auswirkungen beträchtlich sein. Organisationen, die die betroffenen Versionen installiert haben, sollten umgehend handeln.

Es wird dringend empfohlen, die bösartigen Pakete zu identifizieren und von allen Systemen zu entfernen. Alle potenziell kompromittierten Zugangsdaten – einschließlich SSH-Schlüssel, Cloud-Tokens, CI/CD-Secrets und LLM-API-Schlüssel – müssen umgehend rotiert werden.

Eine gründliche Untersuchung der Systeme auf Persistenzmechanismen ist entscheidend. In vielen Fällen könnte der sicherste Ansatz darin bestehen, betroffene Systeme aus einem bekannten sauberen Zustand neu aufzubauen.

Die letzte bekannte sichere Version von LiteLLM ist 1.82.6. Bis die Situation vollständig geklärt ist, wird Organisationen empfohlen, Alternativen zu evaluieren oder eine bekanntermaßen sichere Version intern zu verwalten.

boerse | 68985664 |