Entwickler und DevOps-Teams müssen aufhorchen: TeamPCP, die Hackergruppe hinter den Kompromittierungen des Sicherheits-Tools Trivy und des KICS-Projekts, hat nun das populäre Python-Paket LiteLLM infiltriert und mit einer hochgradierten Malware ausgestattet.
Die Sicherheitsfirmen Endor Labs und JFrog dokumentierten den Angriff detailliert. Die manipulierten Versionen 1.82.7 und 1.82.8 von LiteLLM wurden am 24. März veröffentlicht – ein klassischer Supply-Chain-Angriff, der über Trivys Nutzung in der CI/CD-Pipeline ausgelöst wurde.
Die dreistufige Angriffsmethode
Das eingefügte Malware-Code implementiert ein ausgefeiltes dreistufiges Angriffsszenario: Zuerst werden Credentials gesammelt – SSH-Schlüssel, Cloud-Authentifizierungsdaten, Kubernetes-Secrets, Kryptowallet-Informationen und Umgebungsdateien (.env). Anschließend nutzt der Angreifer diese Zugangsdaten für laterale Bewegungen innerhalb von Kubernetes-Clustern, indem privilegierte Container auf jedem Node deployed werden. Final installiert sich die Malware über einen systemd-Backdoor (sysmon.service) persistent und kontaktiert regelmäßig einen C2-Server.
Kianthe Unterschiede zwischen den Versionen zeigen eine Eskalation: Version 1.82.7 versteckt den bösartigen Code in der Datei „litellm/proxy/proxy_server.py”, wird aber erst beim Import ausgelöst. Version 1.82.8 hingegen nutzt eine .pth-Datei im Paket-Root – diese wird automatisch bei jedem Python-Prozess-Start ausgeführt, unabhängig davon, ob LiteLLM importiert wird. Zudem startet 1.82.8 einen separaten Python-Prozess im Hintergrund, was die Detektion erschwert.
Koordinierte Lieferketten-Attacke
Endor-Labs-Forscher Kiran Raj warnt: „Dies ist offensichtlich nicht das Ende der Kampagne.” TeamPCP folgt einem etablierten Muster – jede kompromittierte Umgebung liefert neue Credentials für die nächste Eskalation. Von CI/CD-Systemen (GitHub Actions) über die Software-Verzeichnisse bis in Production-Kubernetes-Cluster ist eine bewusste Eskalationsstrategie erkennbar.
TeamPCP hat bereits fünf Ökosysteme infiltriert: GitHub Actions, Docker Hub, npm, Open VSX und PyPI. In einer Nachricht auf Telegram prahlt die Gruppe: „Diese Unternehmen wurden gegründet, um eure Supply Chains zu schützen – können aber nicht mal ihre eigenen schützen.”
Konsequenzen für Deutschland
Deutsche Softwareunternehmen, Fintech-Startups und Cloud-Betreiber sind direkt betroffen, wenn sie LiteLLM oder die Trivy-Tools nutzen. Die exfiltrierten Zugangsdaten könnten für weitere gezielte Attacken gegen deutsche Infrastrukturen missbraucht werden. Sicherheitsexperte Gal Nagli von Google-owned Wiz warnt prägnant: „Die Open-Source-Lieferkette kollabiert in sich selbst."”,