LiteLLM, otvoreni interfejs za pristupanje više velikih jezičkih modela, povučen je sa Python Package Index-a (PyPI) zbog napada na lance snabdevanja koji je uključivao malver za krađu kredencijala.
Specifično, verzije LiteLLM v1.82.7 i v1.82.8 uklonjene su jer su sadržale kod za krađu kredencijala u datoteci litellm_init.pth.
Krrish Dholakia, izvršni direktor kompanije Berri AI, koja održava LiteLLM, izjavio je online da je kompromitacija verovatno nastala korišćenjem Trivy-a u CI/CD procesu projekta.
Trivy je otvoreni skener ranjivosti koji održava Aqua Security, a mnogi projekti ga koriste kao meru zaštite. Napad je započeo krajem februara, kada su napadači iskoristili pogrešnu konfiguraciju u Trivy-evom GitHub Actions okruženju kako bi ukrali privilegovani pristupni token koji je omogućio manipulaciju CI/CD, prema podacima Aqua Security.
Softver je kompromitovan 19. marta, kada su napadači poznati kao TeamPCP koristili kompromitovane kredencijale za objavljivanje maliciozne Trivy verzije (v0.69.4), a ponovo 22. marta kada su objavljene maliciozne verzije v0.69.5 i v0.69.6 kao DockerHub slike.
Aqua Security objašnjava da je pristup napadača bio sofisticiraniji od jednostavnog otpremanja nove maliciozne verzije Trivy-a.
„Modifikovanjem postojećih verzionih oznaka povezanih sa [GitHub Action skriptom] trivy-action, umetnuli su maliciozni kod u radne tokove koje su organizacije već koristile“, navela je kompanija. „Budući da mnogi CI/CD procesi zavise od verzionih oznaka umesto od fiksnih komitova, ovi procesi su nastavili da se izvršavaju bez ikakvih naznaka da je osnovni kod promenjen.“
Dholakia je naveo da je LiteLLM-ov PYPI_PUBLISH token, koji je bio pohranjen u GitHub repozitorijumu kao .env varijabla, poslat Trivy-u, gde su ga napadači preuzeli i iskoristili za otpremu novog LiteLLM koda.
„Obrisali smo sve naše PyPI objavljujuće tokene“, rekao je. „Naši nalozi su imali 2FA, pa je to loš token ovde. Pregledaćemo naše naloge da vidimo kako možemo poboljšati bezbednost (pouzdanija objava putem JWT tokena, prelazak na drugi PyPI nalog itd.).“
U još jednom preokretu, izveštaj o ranjivosti na GitHub-u izgleda da je bio meta spam napada osmišljenog da odvrati i prikrije korisne komentare o izveštaju. U 05:44 AM PDT, desetine varijacija generisanih veštačkom inteligencijom „Hvala, to je pomoglo!“ preplavilo je repozitorijum. Prema rečima istraživača bezbednosti Rami McCarthy-a, 19 od 25 naloga korišćenih za objavljivanje takođe je korišćeno u Trivy spam kampanji.
Python Packaging Authority (PyPA) objavila je bezbednosno obaveštenje o kompromitaciji LiteLLM-a.
„Svako ko je instalirao i pokrenuo projekat treba da pretpostavi da su svi kredencijali dostupni u [LiteLLM okruženju] mogli biti izloženi, i da ih odgovarajuće opozove ili rotira“, navodi se u obaveštenju.
