Atak na łańcuch dostaw LiteLLM: jak hakerzy zhakowali startup AI Mercor
Platforma AI Mercor, specjalizująca się w rekrutacji do trenowania modeli AI, padła ofiarą ataku poprzez skompromitowanie biblioteki Python LiteLLM. Incydent dotknął platformy wycenianej na 10 mld USD, która codziennie wypłaca kontrahentom ponad 2 mln USD. Hakerzy skompromitowali Trivy, uzyskali dostęp do PyPI i opublikowali złośliwe wersje 1.82.7 i 1.82.8 biblioteki, używanej jako proxy dla API LLM.
Mechanizm ataku przez PyPI
Atak rozpoczął się 24 marca: grupa TeamPCP zhakowała skaner luk Trivy, wyciągnęła token publikacji i wgrała zainfekowane pakiety LiteLLM. Biblioteka jest pobierana 97 mln razy miesięcznie i służy jako ujednolicony interfejs do modeli OpenAI, Anthropic i innych.
Złośliwy kod aktywował się podczas instalacji, bez potrzeby importu litellm. Wyciągał:
- Klucze SSH;
- Poświadczenia chmurowe;
- Sekrety Kubernetes;
- Klucze API dostawców.
Odkrycie nastąpiło z powodu błędu w malware: plik .pth powodował rekurencyjne forki procesów, co doprowadziło do fork-bomby. To zawaliło system inżyniera FutureSearch, ujawniając incydent.
Skutki dla Mercor i ekosystemu
Grupa Lapsus$ ogłosiła kradzież 4 TB danych Mercor przez Tailscale VPN. Wyciek obejmuje:
- 939 GB kodu źródłowego;
- 211 GB bazy użytkowników;
- 3 TB nagrań wideo z rozmów i dokumentów weryfikacyjnych.
Analiza próbek wykazała dane ze Slacka, systemów ticketowych i logów agenta AI. Mercor potwierdziła opanowanie incydentu, odmawiając komentarzy na temat wycieku danych klientów. LiteLLM usunęła wersje, wstrzymała wydania i zmieniła dostawcę compliance na Vanta.
To element kampanii TeamPCP: wcześniej skompromitowano Axios w npm, łącznie ponad 60 pakietów w różnych rejestrach.
Luk w łańcuchu dostaw w ekosystemie Python
LiteLLM jako proxy dla LLM-API jest kluczowy dla aplikacji AI. Atak pokazuje ryzyka:
- Zależność od otwartych pakietów bez weryfikacji;
- Brak sandboxingu podczas instalacji;
- Skala rozprzestrzeniania (97 mln instalacji/mies.).
Programistom zaleca się:
- Sprawdzanie hashów pakietów przed instalacją;
- Używanie wirtualnych środowisk z przypiętymi wersjami;
- Monitorowanie zależności za pomocą narzędzi jak Dependabot czy Snyk;
- Audyt łańcucha dostaw z użyciem frameworka SLSA.
Co ważne
- Skala zagrożenia: Jedna skompromitowana zależność dotknęła tysięcy projektów AI, używających LiteLLM jako bramy do LLM.
- Szczegóły techniczne: Malware kradło sekrety podczas
pip install, bez importu w runtime, przez mechanizm.pth. - Reakcja: PyPI usunął pakiety, LiteLLM przeprowadza audyt; Mercor zatrudniła kryminalistów.
- Szerszy kontekst: Kampania TeamPCP dotknęła >60 pakietów, w tym npm.
Incydent podkreśla konieczność zero-trust w bezpieczeństwie łańcucha dostaw dla infrastruktury AI.
— Editorial Team
Brak komentarzy.