Главный специалист по информационной безопасности SlowMist 23pds сообщил 25 марта, что Python-API-оболочка LiteLLM, которая достигает 97 миллионов загрузок в месяц, подверглась атаке через цепочку поставок на PyPI. Уязвимые версии 1.82.7 и 1.82.8 находились на платформе как минимум два часа. Злоумышленники внедрили многоуровневое вредоносное ПО, которое может похищать такие данные, как информация о криптовалютных кошельках.
Структурные причины, по которым LiteLLM стал ценным объектом цепочки поставок для атак
LiteLLM выполняет роль единого интерфейса в технологическом стеке ИИ, поддерживая вызовы моделей у ведущих поставщиков, таких как OpenAI, Anthropic, Google и другие. Его архитектура расположена непосредственно между приложением и несколькими поставщиками ИИ, что позволяет ему получать доступ к большому количеству API-ключей, переменных окружения и конфиденциальных данных.
Проникновение в такие промежуточные компоненты позволяет злоумышленникам перехватывать чувствительные учетные данные, не входя напрямую в сторонние сервисы. В настоящее время специалисты оценивают, связана ли эта атака с группами угроз TeamPCP и LAPSUS$, расследование продолжается. Изначально инцидент был опубликован пользователем GitHub, а затем проанализирован внешними исследователями Futuresearch.
Механизм работы трехуровневого вредоносного кода
Вредоносный код, встроенный в скомпрометированные версии, построен по трехуровневой архитектуре и реализован с помощью обфусцированного Python-кода, закодированного в Base64:
Первый уровень (утечка данных): собирает чувствительные локальные данные, шифрует их с помощью AES-256-CBC, шифрует сессионный ключ встроенным RSA-открытым ключом, упаковывает в tpcp.tar.gz и отправляет на удаленную команду злоумышленников.
Второй уровень (разведка и сбор учетных данных): перечисляет системную информацию, переменные окружения, систематически извлекает SSH-ключи, Git-учетные данные, облачные сертификаты AWS/GCP/Azure, конфигурационные файлы Kubernetes, данные криптовалютных кошельков и настройки CI/CD. В некоторых случаях вредоносное ПО активно использует украденные учетные данные для запросов к AWS API или операций с Kubernetes.
Третий уровень (устойчивость и удаленное управление): записывает файл sysmon.py на диск и настраивает его как системную службу. Каждые 50 минут он опрашивает команду злоумышленников, что позволяет постоянно обновлять функциональность вредоносного ПО на зараженной системе.
Для связи используются домены models.litellm.cloud и checkmarx.zone.
Рекомендации по устранению для пострадавших организаций
Организации, установившие или использующие уязвимые версии LiteLLM (1.82.7 или 1.82.8), должны считать свои системы скомпрометированными. Поскольку вредоносное ПО обладает возможностями постоянной устойчивости и, возможно, уже внедрило дополнительные компоненты, простое удаление пакета недостаточно.
Рекомендуется немедленно выполнить следующие действия: сменить все возможные уязвимые учетные данные (ключи доступа AWS/GCP/Azure, SSH-ключи, API-ключи); проверить журналы на наличие подозрительных исходящих соединений с доменами models.litellm.cloud или checkmarx.zone; удалить файлы tpcp.tar.gz, /tmp/pglog, /tmp/.pg_state и связанные с sysmon.py службы; при возможности восстановить систему из чистого резервного копирования.
Часто задаваемые вопросы
Какие версии LiteLLM пострадали от этой цепочки поставок?
Пострадавшие версии — 1.82.7 и 1.82.8. Вредоносный код встроен в proxy_server.py (для обеих версий) и litellm_init.pth (для версии 1.82.8). Пользователям рекомендуется проверить используемую версию и обновить до последней безопасной версии.
Какая чувствительная информация может быть украдена в результате этой атаки?
Вредоносное ПО собирает SSH-ключи, облачные сертификаты AWS/GCP/Azure, конфигурационные файлы Kubernetes, токены сервисных аккаунтов, Git-учетные данные, API-ключи из переменных окружения, историю команд Shell, данные криптовалютных кошельков и пароли баз данных. Атака охватывает локальную среду разработки, цепочки CI/CD и облачную инфраструктуру.
Как определить, что система была взломана?
Проверьте наличие файлов tpcp.tar.gz, временных файлов /tmp/pglog или /tmp/.pg_state, а также служб, связанных с sysmon.py. Также просмотрите исходящие сетевые соединения на предмет связи с указанными вредоносными доменами.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Самое глупое ограбление в криптомире? Хакер отчеканил 1 миллиард USD DOT, но украл только 230 тысяч USD
Хакеры использовали уязвимость кроссчейн-моста Hyperbridge, выпустив 1 миллиард токенов Polkadot (DOT); номинальная стоимость превышала 1190 миллионов долларов, но из-за недостаточной ликвидности в итоге смогли обналичить лишь около 237 тысяч долларов. Атака произошла потому, что смарт-контракт не проверил сообщения должным образом, что позволило хакерам успешно похитить контроль и чеканить монеты. Событие подчеркнуло ключевую роль ликвидности рынка в том, насколько успешно получается арбитраж.
CryptoCity8ч назад
Поддельное приложение Ledger Live крадет $9,5 млн у более чем 50 пользователей на нескольких блокчейнах
Мошенническое приложение Ledger Live в App Store от Apple похитило 9,5 миллиона долларов у более чем 50 пользователей, скомпрометировав информацию о кошельках. Инцидент, связанный с существенными убытками для крупных инвесторов, вызывает опасения по поводу безопасности App Store, что побуждает к обсуждению возможного судебного иска против Apple.
GateNews9ч назад
Критикуют за то, что заморозка USDC слишком медленная! CEO Circle: мы обязательно будем ждать распоряжения суда, и отказываемся замораживать по собственной инициативе
Circle Генеральный директор Джереми Аллер заявил, что если компания не получит судебный приказ или требования правоохранительных органов, то она не будет по собственной инициативе замораживать адреса кошельков. Даже столкнувшись с противоречиями вокруг отмывания денег хакерами и критикой со стороны сообщества, Circle по-прежнему придерживается принципа верховенства права в своей деятельности.
Джереми Аллер обозначил границы действий Circle по обеспечению соблюдения закона
-----------------------------
На фоне бурного развития мирового рынка криптовалют на пресс-конференции в Сеуле, Южная Корея, генеральный директор эмитента стейблкоинов Circle Джереми Аллер высказал четкую позицию по самому чувствительному для рынка вопросу «заморозки активов». Он отметил, что хотя Circle и располагает техническими возможностями для замораживания определенных адресов кошельков, компания не станет делать это, если только не получит судебный приказ или официальные указания от правоохранительных органов, то есть она не будет по собственной инициативе замораживать адреса кошельков.
CryptoCity11ч назад
Атакующий, использующий уязвимость связанного Polkadot, передает $269K в Tornado Cash
15 апреля Arkham сообщила, что злоумышленник, использовавший уязвимость Bridged Polkadot, перевел около $269,000 украденных средств в Tornado Cash, усложнив отслеживание активов.
GateNews12ч назад
Разработчики Bitcoin предлагают BIP 361 для защиты от угроз, связанных с квантовыми вычислениями
Разработчики Bitcoin предложили BIP 361, чтобы защитить сеть от рисков, связанных с квантовыми компьютерами, путем замораживания уязвимых адресов. В предложении предусмотрен поэтапный план перевода пользователей на квантово-стойкие кошельки, однако оно вызвало дискуссии о контроле со стороны пользователя и безопасности.
GateNews12ч назад
Хакеры используют уязвимость плагина Obsidian, чтобы распространять троян PHANTOMPULSE с помощью блокчейн-C2
Лаборатории Elastic Security выявили, что злоумышленники выдавали себя за венчурные компании в LinkedIn и Telegram, чтобы развернуть Windows RAT под названием PHANTOMPULSE, используя хранилища заметок Obsidian для атак; при этом Elastic Defend успешно заблокировал их.
GateNews13ч назад
