開源大型語言模型串接套件LiteLLM遭遇供應鏈攻擊

資安公司Endor Labs於3月24日發現，TeamPCP持續擴大其供應鏈攻擊行動，鎖定Python套件LiteLLM，於PyPI發布遭植入後門的惡意版本，影響範圍涵蓋AI應用開發環境。受影響版本為1.82.7與1.82.8，然而，這兩個版本GitHub的原始碼本身沒有惡意內容，這意味著攻擊發生於套件打包或發布階段。由於該套件每月下載量高達9,500萬次，廣泛用於整合多個大型語言模型（LLM）API的代理服務，影響將有可能延伸到企業組織採用的AI服務。

LiteLLM為開源Python程式庫，主要功能是讓開發者透過統一的API呼叫不同的AI模型服務，降低整合的難度。開發者可將其作為API閘道或代理伺服器，並統一管理API金鑰、進行負載平衡，以及控制請求的流量，甚至能進行成本控管。

兩個遭到竄改的LiteLLM版本，都含有後門檔案proxy_server.py，一旦觸發，惡意程式在載入時即會執行隱藏酬載，並進行三階段攻擊，首先，駭客會搜刮憑證，包括：SSH金鑰、雲端權杖（Token），以及Kubernetes密鑰等。接著，他們在Kubernetes叢集中橫向移動，以及安裝後門程式。竊取的資料會經加密處理，然後回傳至攻擊者控制的伺服器。

值得留意的是，遭滲透的1.82.8版更進一步利用Python的.pth機制，在每次執行Python時自動觸發惡意程式，即使未直接使用LiteLLM也會中招，顯著提高感染範圍與隱蔽性。Endor Labs強調，只要在安裝此LiteLLM的環境裡，開發人員只要執行任意Python指令碼、測試Runner，或是其他工具，就有可能讓惡意程式在後臺安靜地搜刮憑證。

而對於攻擊者的身分，他們比對Wiz公布的惡意Open VSX套件，以及被感染的Trivy與KICS弱點掃描工具，發現與惡意版本LiteLLM的C2網域、持續運作指令碼、植入受害環境的系統服務等多項特徵，都呈現一致的狀態，從而確定本起事故就是TeamPCP所為。

有資安公司透露，駭客疑似從中竊得大批憑證資料。中國起家的區塊鏈資安公司慢霧（SlowMist）資安長23pds指出，上述資安事故攻擊者竊得約300 GB資料，其中含有50萬個憑證，對此他們呼籲加密貨幣領域的開發人員應儘速自我檢查，並輪替有關的金鑰與憑證、檢查事件記錄資料、存取記錄，以及敏感資料曝露的情形。