PyPI发现LiteLLM恶意软件事件，提醒开发者云端和CI/CD凭证泄露风险

PyPI对可能从AI应用和开发者管道中窃取凭证的行为发出警告。此前，广泛使用的大语言模型Python中间件LiteLLM的两个恶意版本曾短暂发布。

"任何安装并运行该项目的人都应假设LiteLLM环境中的任何凭证可能已被泄露，并应相应地撤销/轮换这些凭证，"PyPI在公告中表示，该事件与正在进行的TeamPCP供应链攻击中被利用的Trivy依赖项有关。

根据Sonatype的分析，这些恶意包嵌入了多阶段载荷，旨在从开发者环境、CI/CD管道和云配置中窃取敏感数据，它们在PyPI上存在约两小时后被下架。

"考虑到该包每天300万次的下载量，受损的LiteLLM在那段短时间内可能产生了重大影响，"Sonatype研究人员在博客文章中表示。除了作为窃取工具外，这些包还充当投递器，能够实现后续载荷和更深层的系统入侵。

此次入侵影响了1.82.7和1.82.8版本。Sonatype的分析指出载荷在三个不同阶段运作，包括初始执行和数据外泄、深度侦察和凭证窃取，最后是建立持久性和远程控制能力。

攻击链大量依赖混淆技术，使用base64编码的Python代码掩盖载荷踪迹。一旦执行，恶意软件会收集敏感数据，使用AES-256-CBC加密，然后用嵌入的RSA公钥保护加密密钥，最后将所有内容发送到攻击者控制的服务器。

这一披露突显了攻击者当前常用的手法。恶意软件不会在安装后立即行动，而是悄悄潜伏以探测环境并建立立足点，然后从本地机器、云配置和自动化管道中提取凭证。

"它（载荷）针对环境变量（包括API密钥和令牌）、SSH密钥、云凭证（AWS、GCP、Azure）、Kubernetes配置、CI/CD密钥、Docker配置、数据库凭证，甚至加密货币钱包，"独立跟踪该攻击活动的Wiz研究人员在博客文章中表示。"我们的数据显示LiteLLM存在于36%的云环境中，表明潜在影响范围广泛。"

Wiz还通过威胁中心为其客户提供了检查环境是否遭受入侵的方法。

LiteLLM事件已确认是快速发展的TeamPCP供应链攻击活动的一部分，该活动首先入侵了Trivy。

Trivy由Aqua Security开发，是一款广泛使用的开源漏洞扫描器，用于识别容器映像、文件系统和基础设施即代码(IaC)配置中的安全问题。这次正在进行的攻击被归因于TeamPCP，据报告与LAPSUS$有关联，攻击者入侵了发布凭证，并将凭证窃取代码注入到官方发布版本和CI/CD管道中使用的GitHub Actions中。

Trivy入侵事件很快引发了类似的供应链事件，攻击者利用相同的访问权限和策略针对其他开发者安全工具，如KICS和Checkmarx，将攻击活动扩展到多个CI/CD生态系统。

PyPI公告将LiteLLM事件直接与Trivy入侵关联。恶意包是"在被利用的Trivy依赖项导致API令牌泄露后"上传的。

Wiz首席研究员Ben Read将此称为需要监控进一步扩展的系统性攻击活动。"我们看到供应链攻击者与LAPSUS$等高知名度勒索团体之间出现了危险的融合，"他说。"通过在生态系统中横向移动——攻击存在于超过三分之一云环境中的liteLLM等工具——他们正在制造雪球效应。"

PyPI已建议用户轮换受影响LiteLLM环境可访问的任何密钥，因为研究人员确认存在主动数据外泄，以及与正在进行的攻击活动相关的云环境可能遭受入侵。

Q&A

Q1：LiteLLM恶意软件事件是怎么回事？

A：LiteLLM是一个广泛使用的大语言模型Python中间件，其1.82.7和1.82.8版本被植入恶意代码，能够从开发者环境、CI/CD管道和云配置中窃取敏感数据，包括API密钥、云凭证、数据库密码等。这些恶意版本在PyPI上存在约两小时，考虑到该包每天300万次下载量，影响范围可能很大。

Q2：TeamPCP供应链攻击是什么？涉及哪些工具？

A：TeamPCP是一个系统性的供应链攻击活动，据报告与LAPSUS$勒索团体有关。攻击首先从Trivy漏洞扫描器开始，然后扩展到LiteLLM、KICS、Checkmarx等多个开发者安全工具。攻击者通过入侵发布凭证，将恶意代码注入官方发布版本和GitHub Actions中。

Q3：如果使用了受影响的LiteLLM版本该怎么办？

A：PyPI建议所有安装并运行过受影响版本的用户立即采取行动：假设所有LiteLLM环境可访问的凭证都可能已被泄露，包括API密钥、云凭证、数据库密码等，需要立即撤销和轮换这些凭证。Wiz还为其客户提供了通过威胁中心检查环境入侵情况的方法。