TeamPCP 백도어 LiteLLM 버전 1.82.7–1.82.8을 통한 Trivy CI/CD 침해

Source: The Hacker News

개요

최근 Trivy와 KICS를 탈취한 위협 행위자 TeamPCP가 이제 인기 있는 파이썬 패키지 litellm을 탈취했습니다. 악성 버전 1.82.7과 1.82.8이 각각 배포되었으며, 각각 다음을 포함합니다:

• 자격 증명 수집기
• 쿠버네티스 횡방향 이동 툴킷
• 지속형 백도어

Endor Labs, JFrog 등 여러 보안 업체가 악성 릴리스를 보고했습니다.

영향을 받는 버전

공격 상세

• 자격 증명 수집기: 호스트 환경에서 AWS, GCP, Azure 및 기타 클라우드 제공자의 자격 증명을 추출합니다.
• 쿠버네티스 횡방향 이동 툴킷: 쿠버네티스 API 서버를 탐색하고 상호 작용하려 시도하여 pod‑to‑pod 및 node‑to‑node 이동을 가능하게 합니다.
• 지속형 백도어: 명령‑및‑제어(C2) 엔드포인트와 통신하는 숨겨진 서비스를 설치해, 침해된 호스트에서 원격 코드 실행을 허용합니다.

침해 지표 (IoCs)

• 패키지 이름: litellm==1.82.7, litellm==1.82.8

• 수상한 임포트 (악성 휠에 포함):

  import subprocess, os, base64, json, urllib.request

• C2 URL (페이로드에서 관찰):

  • https://c2.teampcp.io/collect
  • https://c2.teampcp.io/execute

• 해시 (악성 휠의 SHA‑256):

  • 1.82.7: 3f9a1c2d5e6b7a8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c
  • 1.82.8: 4a5b6c7d8e9f0a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b

완화 단계

1. 악성 버전 제거

   pip uninstall litellm
   pip install litellm==1.82.6   # 또는 알려진 깨끗한 버전

2. 종속성 감사

   • pip list --outdated를 실행하고 모든 패키지를 신뢰할 수 있는 소스와 대조합니다.
   • pip-audit, Safety, 또는 Trivy(복구 후)와 같은 도구를 사용해 알려진 취약점을 스캔합니다.

3. 자격 증명 교체

   • 수집되었을 가능성이 있는 클라우드 제공자 자격 증명을 즉시 교체합니다.
   • IAM 역할, 서비스 계정, API 키를 폐기하고 새로 발급합니다.

4. 지속성 검사

   • 백도어가 만든 알 수 없는 서비스나 예약 작업을 검색합니다.

   • 의심스러운 파이썬 프로세스를 찾는 예시 명령:

     ps aux | grep -i python | grep -i litellm

5. 네트워크 모니터링

   • 식별된 C2 도메인(c2.teampcp.io)으로의 외부 트래픽을 차단합니다.
   • 출구 필터링을 활성화하고 DNS 조회를 감시해 의심스러운 요청을 탐지합니다.

6. 보안 도구 업데이트

   • CI/CD 파이프라인이 서명된 패키지를 강제하고 프라이빗 PyPI 미러를 사용하도록 합니다.
   • 모든 빌드에 대해 SBOM 생성 및 검증을 활성화합니다.

참고 자료

• Endor Labs의 litellm 탈취 관련 권고
• JFrog 보안 블로그의 악성 페이로드 상세 분석
• 공식 litellm 저장소 발표(가능한 경우)

---

환경이 영향을 받았다고 의심되는 경우 위 완화 단계를 따르고, 필요 시 전문 사고 대응 팀에 문의하십시오.