月間ダウンロード数9500万回、過去24時間で350万回を誇るPythonライブラリ「LiteLLM」の開発者は、プロジェクトが侵害されたことを報告した。攻撃者はメンテナーの認証情報を傍受し、ユーザーのシステムから鍵とパスワードを盗むコードを含む悪意のあるリリース(1.82.7と1.82.8)をPyPIに公開した。これらの悪意のあるバージョンは現在PyPIから削除されており、調査が完了するまでプロジェクトは一時的に停止されている。
PyPI 上の LiteLLM アカウントのアクセス トークンが、継続的インテグレーション システムで trivvy 依存関係セキュリティ スキャナーが使用されていることが原因で、攻撃者によって侵害されました。これに先立ち、2 月下旬には、攻撃者は Trivy 継続的インテグレーション システムで実行される pull_request_target ハンドラーの脆弱性を悪用して、Trivy プロジェクトのインフラストラクチャへのアクセス権を取得していました。侵害後、攻撃者は悪意のある Trivy 0.69-0.69 リリースを公開し、trivy-action GitHub Action ハンドラーを偽装し、Trivy を含む改変された Docker イメージをデプロイしました。
3月24日午前11時30分(MSK)、LiteLLMメンテナー(krrishdholakia)の傍受された認証情報を使用して、公式のGitHub CI/CDシステムを迂回し、LiteLLM 1.82.7および1.82.8の悪意のあるリリースをPyPIに直接公開しました。プロジェクトのGitHubリポジトリは影響を受けず、悪意のある活動はPyPIでのみ確認されました。LiteLLM 1.82.7リリースでは、litellm/proxy/proxy_server.pyファイルに悪意のあるコードが埋め込まれており、litellm.proxyのインポート時にアクティブ化されていました。1.82.8リリースでは、site-packages/litellm_init.pthファイルが追加され、base64形式でパックされ、起動時にアクティブ化されるハンドラがproxy_server.pyファイルに追加されていました。
追加された悪意のあるコードは、機密データをスキャンして送信しました。SSH および SSL/TLS キー、環境変数の内容、AWS、GCP、Azure、および K8s 認証情報、暗号ウォレットキー、DBMS パスワード、コマンドインタープリタの操作履歴、および Git、CI/CD、パッケージマネージャ、および Docker からの構成ファイルが送信されました。検出されたデータは AES-256-CBC および RSA-4096 を使用して暗号化され、HTTP POST リクエストを介して Web サイト "https://models.litellm.cloud/" に送信されました。ドメイン litellm.cloudは、悪意のあるリリースが公開される数時間前に登録されていた。
LiteLLM ユーザーは、site-packages ディレクトリに litellm_init.pth ファイルが存在しないことを確認し、バージョン 1.82.7 または 1.82.8 をインストールする場合はすべてのキーと認証情報を更新し、依存関係の読み込みパラメータで特定の LiteLLM バージョンを固定し、使用している LiteLLM リリースを GitHub のリリース コードと照合することをお勧めします。
出所: オープンネット.ru
