MalwareSchwachstellenHackerangriffe

TeamPCP kompromittiert beliebtes Python-Paket LiteLLM – Hunderttausende Geräte betroffen

TeamPCP kompromittiert beliebtes Python-Paket LiteLLM – Hunderttausende Geräte betroffen
Zusammenfassung

Die Hacker-Gruppe TeamPCP hat erneut zugeschlagen und ein kritisches Python-Paket namens LiteLLM kompromittiert, das täglich über 3,4 Millionen Mal heruntergeladen wird. Bei dem Angriff wurden manipulierte Versionen des beliebten Open-Source-Tools auf der Python-Paketplattform PyPI verbreitet, das als Schnittstelle zu verschiedenen großen Sprachmodellen dient. Cyberkriminelle schleusten einen sogenannten Infostealer ein – Malware, die sensible Daten wie SSH-Schlüssel, Cloud-Token, Kubernetes-Secrets und Kryptowallet-Zugänge stiehlt. Nach Angaben von Sicherheitsforschern sind etwa 500.000 Geräte betroffen, wobei auch systemd-Backdoors für persistente Zugriffe installiert wurden. Dies ist bereits der dritte prominente Supply-Chain-Angriff der TeamPCP-Gruppe, nach Trivy und Aqua Security. Für deutsche Unternehmen und Entwickler ist dies besonders bedrohlich, da viele auf LiteLLM und ähnliche Python-Bibliotheken angewiesen sind. Betroffene Organisationen sollten sofort prüfen, ob LiteLLM eingesetzt wird, auf sichere Versionen aktualisieren und sämtliche Anmeldedaten auf möglicherweise kompromittierten Systemen zurücksetzen – ein Schritt, den viele Unternehmen bislang vernachlässigen, was zu Folgeanschlägen führt.

Die Hackergruppe TeamPCP demonstriert mit dem LiteLLM-Angriff die verheerenden Folgen von Schwachstellen in der Open-Source-Lieferkette. Das betroffene Python-Paket ist fundamental für viele Entwickler und Unternehmen, die künstliche Intelligenz einsetzen – entsprechend groß ist die potenzielle Angriffsfläche.

Das Sicherheitsunternehmen Endor Labs dokumentiert, wie die Angreifer zwei manipulierte Versionen des Pakets auf PyPI hochluden. Die bösartige Payload wurde als Base64-kodierter Code in die Datei ’litellm/proxy/proxy_server.py’ eingearbeitet. Besonders kritisch: Version 1.82.8 installiert zusätzlich eine ‘.pth’-Datei, die Python automatisch beim Start verarbeitet – unabhängig davon, ob LiteLLM tatsächlich verwendet wird.

Der Angriff folgt einer dreistufigen Strategie: Zunächst werden Zugangsdaten gestohlen – SSH-Schlüssel, Cloud-Authentifizierungstoken, Kubernetes-Secrets, Kryptowallet-Daten und Umgebungsvariablen aus ‘.env’-Dateien. Anschließend versuchen die Angreifer, sich lateral in Kubernetes-Clustern auszubreiten, indem sie privilegierte Pods auf jedem Knoten installieren. Abschließend etablieren sie eine persistente Hintertür durch einen systemd-Service, der sich als “System Telemetry Service” tarnt und regelmäßig auf der Domäne checkmarx.zone nach zusätzlichen Payloads anfrag.

Die gestohlenen Daten werden verschlüsselt in einem Archiv mit dem Namen ’tpcp.tar.gz’ zu der von Angreifern kontrollierten Infrastruktur unter models.litellm.cloud übertragen. Die Menge der betroffenen Systeme bleibt umstritten – während Quellen von etwa 500.000 berichten, konnten unabhängige Verifizierungen dies bislang nicht bestätigen.

Dieser Angriff ist Teil einer umfassenden Kampagne: TeamPCP war bereits für die Kompromittierung von Aqua Securitys Trivy-Vulnerability-Scanner verantwortlich, was zu Kaskaden-Angriffen auf Docker-Images und das Checkmarx-KICS-Projekt führte. Die Gruppe ist zudem für Kubernetes-Angriffe bekannt, die speziell Systeme mit Iran-Konfiguration mit einer Wiper-Malware zerstören.

Für betroffene Organisationen ist die Empfehlung eindeutig: LiteLLM sofort auf Version 1.82.6 oder älter zurückfahren und alle Anmeldedaten auf betroffenen Systemen als kompromittiert betrachten. Eine vollständige Rotation aller Zugriffstoken ist unerlässlich – eine Maßnahme, die zwar aufwändig ist, aber kaum zu vermeiden sein dürfte, wenn Kaskaden-Angriffe verhindert werden sollen.

Ähnliche Artikel