Пару дней назад группа хакеров, известная как TeamPCP, осуществила дерзкую атаку по цепочке поставок, нацеленную на ключевой компонент инфраструктуры искусственного интеллекта. Их мишенью стал LiteLLM — сверхпопулярный open-source API gateway, который позволяет разработчикам взаимодействовать с более чем 100 различными большими языковыми моделями, такими как OpenAI и Anthropic.
Хакеры проникли в систему, скомпрометировав сканер уязвимостей Trivy через некорректно настроенный рабочий процесс GitHub Actions. Получив доступ, они похитили токен публикации PyPI для LiteLLM и загрузили две вредоносные версии, 1.82.7 и 1.82.8, непосредственно в публичный реестр. После заражения вредоносное ПО автоматически запускалось и похищало SSH-ключи, файлы .env, учетные данные облачных провайдеров, криптовалютные кошельки и API-ключи для ИИ.
Теперь Mercor, стартап, занимающийся наймом и обучением данных для ИИ, подтвердил, что он стал «одной из тысяч компаний», пострадавших от этой атаки. В заявлении для TechCrunch представитель Mercor Хайди Хагберг заявила:
Мы проводим тщательное расследование при поддержке ведущих сторонних экспертов по криминалистике. Мы продолжим напрямую информировать наших клиентов и подрядчиков по мере необходимости и направим все необходимые ресурсы на скорейшее урегулирование ситуации.
Атакующих обнаружили только благодаря небольшому багу в их коде, который вызвал массивную утечку памяти. Каллум МакМагон, инженер из FutureSearch, который тестировал плагин для ИИ, использующий LiteLLM, заметил, что его машина постоянно выходит из строя. Он проследил проблему до вредоносного файла, который рекурсивно порождал новые процессы, случайно создав «форк-бомбу», исчерпавшую всю оперативную память системы.
Если вы подозреваете, что были заражены, первым (очевидным) шагом является ротация всех ключей и секретов. После этого необходимо обновить LiteLLM. Последняя безопасная версия до атаки — 1.82.6, а первая пропатченная версия после атаки — 1.83.0.
Похоже, участились инциденты безопасности, затрагивающие инструменты разработчика. Вскоре после атаки на LiteLLM была скомпрометирована популярная JavaScript-библиотека Axios в NPM. В том случае хакеры похитили учетные данные ведущего мейнтейнера, сменили адрес электронной почты аккаунта на анонимный адрес ProtonMail и опубликовали две отравленные версии. Вредоносное ПО даже пытается действовать хитро: оно самоуничтожает свои вредоносные скрипты после выполнения и подменяет свой package.json на ложный, чтобы скрыть следы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Uzondu
