LiteLLMサプライチェーン攻撃、暗号資産ウォレットとクラウドキーを窃取

LiteLLMバージョン1.82.7および1.82.8に認証情報窃取マルウェアが注入される

月間9700万回のダウンロードを誇る人気のLiteLLM Pythonライブラリの2つのバージョンがサプライチェーン攻撃により侵害され、暗号資産ウォレットやクラウド認証情報が盗まれるリスクが生じています。3月24日、TeamPCPとして知られる脅威アクターは、悪意のあるバージョン1.82.7と1.82.8をPython Package Index (PyPI)に公開しました。埋め込まれたマルウェアは多段階のペイロードであり、侵害されたパッケージがインストールされているすべての環境から、SSHキー、Kubernetesシークレット、暗号資産ウォレットのプライベートキーを含む機密データを収集するように設計されています。

2番目の悪意のあるバージョン1.82.8は、.pthファイルを使用してより積極的な攻撃ベクトルを導入しました。この技術により、開発者のコードによってLiteLLMライブラリが明示的にインポートされるのを待つことなく、Pythonインタープリターが起動するたびに悪意のあるコードが自動的に実行されます。これにより、攻撃の到達範囲と感染したシステムでの永続性が大幅に拡大します。

Trivyスキャナーを介したCI/CDパイプライン侵害により攻撃が実現

LiteLLMの侵害は直接的な攻撃ではなく、その開発インフラストラクチャに起因する連鎖的な障害でした。攻撃者はまず、LiteLLMの継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインで使用されているオープンソースの脆弱性スキャナーであるTrivyを不正に利用しました。3月19日と3月22日に悪意のあるTrivyリリースを公開することで、TeamPCPは設定ミスを悪用し、LiteLLMプロジェクトの特権アクセススチームを盗み出しました。

盗まれた認証情報を使用して、攻撃者はバックドアが仕掛けられたLiteLLMパッケージを直接PyPIに公開することができました。セキュリティ研究者は、収集されたデータが暗号化されたアーカイブとして、攻撃者が制御するコマンドアンドコントロール（C2）ドメインであるmodels.litellm[.]cloudに送信されていることを発見しました。また、新しいコマンドやペイロードを50分ごとに別のドメインcheckmarx[.]zoneに問い合わせる永続的なバックドアもインストールされており、これは長期的な侵入戦略を示唆しています。

TeamPCPがさらなる攻撃を誓い、サプライチェーンリスクがエスカレート

LiteLLM事件は、TeamPCPが重要な開発者インフラストラクチャを標的として意図的に拡大しているキャンペーンの一部です。このグループは、Telegramチャンネルで攻撃の責任を公然と認め、人気のあるツールを標的とし続け、混乱を永続させる意図を表明しました。これにより、この事件は単一のプロジェクトの侵害から、オープンソースソフトウェアサプライチェーンに対するシステム的な脅威へとエスカレートしています。

オープンソースサプライチェーンは自滅しつつある。Trivyが侵害され → LiteLLMが侵害され → 数万の環境から認証情報が攻撃者の手に渡り → その認証情報が次の侵害につながる。私たちはループに閉じ込められている。

— Google傘下のWizの脅威暴露責任者、Gal Nagli。

ある攻撃から盗まれた認証情報が次の攻撃を開始するために使用されるこの侵害のサイクルは、著しい雪だるま式効果を生み出します。Web3分野の投資家や開発者にとって、この攻撃は基本的な開発ツールのセキュリティに対する信頼を損ない、オープンソースエコシステムに依存するプロジェクトの運用リスクを高めます。