인기 LiteLLM PyPI 패키지, 백도어 삽입돼 자격 증명 및 인증 토큰 탈취

Source: Slashdot

개요

Joshuark는 BleepingComputer가 보도한 TeamPCP 해킹 그룹의 최신 공급망 공격에 관한 보고서를 공유합니다. 이 그룹은 PyPI에서 널리 사용되는 LiteLLM 파이썬 패키지를 손상시켰으며, 수십만 대의 장치에서 데이터를 탈취했다고 주장합니다.

LiteLLM은 여러 대형 언어 모델(LLM) 제공업체에 대한 단일 API 게이트웨이를 제공하는 오픈소스 파이썬 라이브러리입니다. 이 패키지는 하루에 3.4 백만 건 이상의 다운로드와 지난 한 달 동안 9,500만 건 이상의 다운로드를 기록할 정도로 매우 인기가 높습니다.

Endor Labs의 연구에 따르면, 위협 행위자들이 프로젝트를 침해하고 악성 버전인 LiteLLM 1.82.7 및 1.82.8을 PyPI에 배포했습니다. 이 버전들은 다양한 민감 정보를 수집하는 인포스틸러를 포함하고 있었습니다.

영향

• 악성 LiteLLM 버전(1.82.7 및 1.82.8)은 PyPI에서 삭제되었습니다.
• 현재 최신 정상 버전은 1.82.6입니다.
• 침해가 의심되는 경우, 영향을 받은 시스템의 모든 자격 증명을 노출된 것으로 간주하고 즉시 교체해야 합니다.

권장 조치

LiteLLM을 사용하는 조직은 즉시 다음을 수행해야 합니다:

• 1.82.7 또는 1.82.8 버전이 설치되어 있는지 확인합니다.
• 영향을 받은 장치에서 사용 중이거나 코드 내에 발견된 모든 비밀, 토큰 및 자격 증명을 교체합니다.
• ~/.config/sysmon/sysmon.py와 같은 지속성 아티팩트 및 관련 systemd 서비스를 검색합니다.
• /tmp/pglog 및 /tmp/.pg_state와 같은 의심스러운 파일을 검사합니다.
• kube-system 네임스페이스에 무단 파드가 있는지 Kubernetes 클러스터를 검토합니다.
• 알려진 공격자 도메인으로의 외부 트래픽을 모니터링합니다.

추가 읽을거리

이 이야기에 대한 자세한 내용은 Slashdot에서 확인하세요.