TeamPCP这伙人动作越来越快。
刚拿下Trivy和KICS没几天,3月24日他们又把目标对准了Python生态里那个热门的LiteLLM包,直接推送了两个带毒版本。Endor Labs和JFrog两家安全厂商几乎同时拉响警报,恶意代码里塞了凭证窃取器、Kubernetes横向移动工具,还有一个能长期潜伏的systemd后门。
这两个版本1.82.7和1.82.8已经在PyPI上被紧急下架。但伤害已经造成。
根据Endor Labs研究员Kiran Raj的分析,这次攻击是典型的三阶段链条。第一阶段疯狂扫荡SSH密钥、云凭证、Kubernetes secret、加密货币钱包和各种.env文件;第二阶段直接在集群里每个节点扔一个特权Pod;第三阶段则在主机上安装一个叫sysmon.service的持久化服务,每50分钟去checkmarx[.]zone/raw拉取下一阶段payload。
数据外传的时候打包成加密的tpcp.tar.gz,通过HTTPS POST发到models.litellm[.]cloud这个C2域名。整个流程干净利落,几乎不留痕迹。
1.82.7的恶意代码藏在litellm/proxy/proxy_server.py里,轮子打包阶段或者之后被注入。只要任何进程import litellm.proxy.proxy_server,后门立刻启动,不需要用户额外操作。
到了1.82.8他们玩得更狠。在wheel根目录塞了一个litellm_init.pth文件。Python解释器启动时site.py会自动处理site-packages里的.pth文件,这意味着只要环境里有这个包,后门就会在每个Python进程启动时自动执行,不再依赖具体import。
更阴险的是,这个.pth文件通过subprocess.Popen启动一个子Python进程,让payload在后台静默运行。Endor Labs直言,这一步把攻击面从“导入时触发”扩大到了“环境启动即中招”。
Kubernetes环境尤其危险。后门会拿service account token枚举所有节点,然后在每个节点部署特权Pod。Pod再chroot进主机文件系统,把持久化dropper装成systemd用户服务。服务脚本的名字还是熟悉的__HOME__/.config/sysmon/sysmon.py,和之前Trivy中招时的套路一模一样。
里面还留了个kill switch:如果拉到的URL里包含youtube[.]com,就直接退出。这个小把戏在TeamPCP历次行动里反复出现。
TeamPCP在Telegram频道里公开叫板:“这些公司号称保护供应链,结果连自己都护不住。现代安全研究就是个笑话。所以我们会长期待在这里,跟新伙伴一起偷走TB级的商业机密。”
他们还放话,接下来几个月会继续盯上更多热门安全工具和开源项目。Socket团队评价,这已经是一场跨生态的协调攻击,覆盖了GitHub Actions、Docker Hub、npm、Open VSX和PyPI五个大平台。
从CI/CD流水线里的GitHub Actions runner,一路横跳到生产环境的Kubernetes集群,TeamPCP把凭证变现的速度肉眼可见。Endor Labs警告,这场战役远没有结束,每次妥协都会带来新凭证,打开下一扇门,形成明显的雪球效应。
Wiz威胁暴露主管Gal Nagli在X上直呼:开源供应链正在自我崩塌。Trivy中招→LiteLLM中招→数万环境凭证落入攻击者手里→这些凭证又导致下一次妥协。我们卡在循环里出不来。
目前用户需要立刻做的几件事很明确:排查所有环境里有没有LiteLLM 1.82.7或1.82.8,一经发现立刻回滚干净版本;隔离受影响主机;检查Kubernetes里有没有来路不明的Pod;翻看网络日志看有没有去models.litellm[.]cloud和checkmarx[.]zone的出站流量;清除所有持久化机制;同时审计CI/CD流水线里Trivy和KICS的使用情况,尤其重点看妥协时间窗口;最后把所有可能暴露的凭证全部轮换。
这一波攻击再次证明,供应链安全已经不是哪个单一环节的问题,而是整个链条都在裸奔。TeamPCP的胃口越来越大,下一个目标会是谁,现在没人敢打包票。
就在加密市场今天整体承压之际,BTC现报$69,412(24h -1.88%),ETH现报$2,120(24h -1.81%),开发者们却要额外操心自家依赖包会不会突然带毒。安全从来不是免费午餐,这次LiteLLM事件又给所有人上了一课。