Две версии LiteLLM, интерфейса с открытым исходным кодом для доступа к множеству больших языковых моделей, были удалены из Python Package Index (PyPI) после атаки на цепочку поставок, в результате которой в них был внедрен вредоносный код для кражи учетных данных.
В частности, LiteLLM v1.82.7 и v1.82.8 были изъяты, поскольку содержали код для кражи учетных данных в файле компонента litellm_init.pth.
Криш Дхолакия, генеральный директор Berri AI, которая поддерживает LiteLLM, сообщил в онлайн-посте, что компрометация, по-видимому, произошла из-за использования Trivy в конвейере CI/CD проекта.
Trivy — это сканер уязвимостей с открытым исходным кодом, поддерживаемый Aqua Security, который многие другие проекты используют в качестве меры безопасности. Вредоносная кампания началась в конце февраля, когда злоумышленники воспользовались некорректной конфигурацией в среде GitHub Actions Trivy, чтобы украсть привилегированный токен доступа, позволивший манипулировать CI/CD, согласно данным Aqua Security.
Программное обеспечение было скомпрометировано 19 марта, когда злоумышленники, известные как TeamPCP, использовали украденные учетные данные для публикации вредоносного релиза Trivy (v0.69.4), и снова 22 марта, когда вредоносные версии Trivy v0.69.5 и v0.69.6 были опубликованы в виде образов DockerHub.
Однако Aqua Security объясняет, что подход, использованный злоумышленниками, был более изощренным, чем просто загрузка новой вредоносной версии Trivy.
«Изменяя существующие теги версий, связанные со скриптом [GitHub Action] trivy-action, они внедрили вредоносный код в рабочие процессы, которые организации уже запускали», — сообщила компания. «Поскольку многие конвейеры CI/CD полагаются на теги версий, а не на закрепленные коммиты, эти конвейеры продолжали выполняться без каких-либо указаний на то, что базовый код был изменен».
Дхолакия сообщил, что токен PYPI_PUBLISH LiteLLM, хранящийся в репозитории проекта на GitHub как переменная .env, был передан Trivy, где его перехватили злоумышленники, а затем использовали для публикации нового кода LiteLLM.
«Мы удалили все наши токены публикации PyPI», — сказал он. «На наших аккаунтах была включена 2fa, так что здесь проблема с токеном. Мы проверяем наши аккаунты, чтобы понять, как сделать их более безопасными (доверенная публикация через JWT-токены, переход на другой аккаунт PyPI и т. д.)».
В другом повороте событий, отчет об уязвимости на GitHub, по-видимому, стал целью спам-атаки, направленной на то, чтобы отвлечь внимание и скрыть полезные комментарии об отчете. В 05:44 по тихоокеанскому дневному времени репозиторий был наводнен десятками, предположительно, сгенерированных ИИ вариаций фразы «Спасибо, это помогло!». По словам исследователя безопасности Рами Маккарти, 19 из 25 аккаунтов, использованных для публикации, также были задействованы в спам-кампании Trivy.
Python Packaging Authority (PyPA) опубликовала рекомендацию по безопасности относительно компрометации LiteLLM.
«Любой, кто установил и запустил проект, должен предполагать, что любые учетные данные, доступные среде LiteLLM, могли быть скомпрометированы, и соответствующим образом отозвать/ротировать их», — говорится в рекомендации. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Thomas Claburn
