Introduction
Une récente étude menée par l'équipe de recherche X-Labs de Forcepoint LLC a mis en lumière une attaque de la chaîne d'approvisionnement qui a compromis LiteLLM, une bibliothèque Python open-source largement utilisée. Cette attaque a transformé deux versions malveillantes de la bibliothèque en un outil de vol de mots de passe ciblant les environnements cloud et d'intelligence artificielle.
Contexte Technique
L'attaque, attribuée au groupe de menace TeamPCP, a consisté à pousser des versions malveillantes de LiteLLM sur l'index de packages Python. Les attaquants n'ont pas compromis le référentiel de code source de LiteLLM, mais ont plutôt atteint le package via son pipeline de construction après avoir d'abord empoisonné Trivy, un scanner de vulnérabilités open-source populaire utilisé dans le workflow de déploiement continu de LiteLLM.
TeamPCP avait précédemment pris le contrôle de Trivy en usurpant les identités des mainteneurs légitimes et en poussant des commits impersonnés, puis a déclenché la pipeline de publication automatique du projet pour distribuer des binaires compromis via GitHub Releases, Docker Hub et Amazon ECR.
Analyse et Implications
Les deux versions malveillantes de LiteLLM utilisaient des techniques d'injection différentes. La version 1.82.7 contenait une charge utile codée en Base64 intégrée dans proxy_server.py qui s'exécutait lorsque le proxy LiteLLM était démarré. La version 1.82.8 a adopté une approche plus furtive, en déposant un fichier litelllm_init.pth dans les packages du site afin que la charge utile s'exécute au démarrage de l'interpréteur Python, quel que soit le processus.
Une fois active, la charge utile a scanné les variables d'environnement et les fichiers de configuration pour les informations d'identification des services cloud et d'IA. Les cibles incluaient les clés API d'OpenAI Group PBC, Anthropic PBC et Microsoft Azure, ainsi que les informations d'identification des kits de développement logiciel Amazon Web Services, Google Cloud et Azure.
Perspective
Cette attaque souligne l'importance de traiter les bibliothèques telles que LiteLLM comme des infrastructures critiques dans les cadres de gouvernance d'entreprise. Il est essentiel de surveiller de près les mises à jour et les publications de ces bibliothèques pour prévenir de telles attaques à l'avenir.
