Скомпрометированные пакеты LiteLLM на PyPI: атаки TeamPCP набирают обороты

Целая серия атак на цепочки поставок популярных инструментов и пакетов с открытым исходным кодом, судя по всему, была организована группой TeamPCP, киберпреступным сообществом, набравшим влияние в конце 2025 года.

Новейшей жертвой группы стала популярная библиотека LiteLLM от BerryAI, унифицированный интерфейс, упрощающий приложениям переключение между различными языковыми моделями: 24 марта TeamPCP загрузила на PyPI две скомпрометированные версии (1.82.7 и 1.82.8), содержащие похититель учетных данных и установщик вредоносного ПО.

Каллум МакМахон, исследователь из FutureSearch, первым поднял тревогу после того, как загрузил вредоносную нагрузку, вызвавшую хаос на его локальной машине.

«Поскольку LiteLLM обычно находится непосредственно между приложениями и множеством поставщиков ИИ-сервисов, она часто имеет доступ к API-ключам, переменным окружения и другим конфиденциальным данным. Компрометация пакета в такой позиции позволяет злоумышленникам перехватывать и похищать ценные секреты без необходимости прямого взлома вышестоящих систем», — отметили исследователи Sonatype.

«Учитывая место пакета в стеке технологий ИИ, киберпреступники стремятся воспользоваться тем, что компании используют открытый код для быстрой разработки и развертывания ИИ-приложений. Конструкция вредоносной программы указывает на широкую стратегию нацеливания на разработчиков, облачные среды и современную инфраструктуру приложений.»

Вредоносные версии LiteLLM с тех пор были удалены с PyPI.

Sonatype рекомендует организациям, которые их установили или запустили, выявить и удалить вредоносный пакет с затронутых систем, обновить все потенциально скомпрометированные учетные данные (SSH-ключи, облачные токены, секреты CI/CD, криптокошельки и т.д.), а также провести тщательное расследование для обнаружения механизмов сохранения доступа и дополнительных полезных нагрузок, внедренных во время компрометации.

«Во многих случаях самым безопасным курсом действий может быть пересборка затронутых систем из известного чистого состояния», — добавили они.

Серия атак на цепочки поставок

Компрометация LiteLLM на PyPI впоследствии была связана со взломанной учетной записью сопровождающего и вредоносными рабочими процессами, внедренными атакующими.

Атака следовала тому же сценарию, который TeamPCP использовала для компрометации сканера безопасности Trivy от Aqua и связанных задач GitHub Actions 19 марта, а также расширений/плагинов VS Code от CheckMarx и их задач GitHub Actions 23 марта.

Обе компании обозначили меры, которые должны предпринять пострадавшие организации, и Aqua подтвердила, что компрометация произошла из-за неполного устранения последствий более ранней атаки на цепочку поставок.

«После первоначального раскрытия информации 1 марта была выполнена смена учётных данных, но она не была атомарной (не все учётные данные были отозваны одновременно). Злоумышленник мог использовать действительный токен для извлечения недавно обновлённых секретов в течение окна смены (которое длилось несколько дней). Это могло позволить атакующему сохранить доступ и провести атаку 19 марта», — пояснила компания.

Кроме того, считается, что TeamPCP также скомпрометировала ряд пакетов NPM, которые были оснащены бэкдором на Python, загружающим и выполняющим «всё, что ему прикажут», а также инструментом самораспространения (червём) для дальнейшего распространения бэкдора на другие пакеты NPM.

И, по данным исследователей Aikido, они также развернули программу-уничтожитель для узла Kubernetes или локальной машины, если цель находится в Иране.

Рами Маккарти, ведущий исследователь безопасности в Wiz, составил хронологию атак, которая, вероятно, будет расширена в ближайшие дни.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!