Powrót do strony głównej

Włamanie LiteLLM: atak na PyPI i wyciek Mercor

Grupa hakerska TeamPCP zkompromitowała LiteLLM poprzez Trivy, publikując złośliwe wersje w PyPI. Atak doprowadził do wycieku sekretów i 4 TB danych Mercor. Materiał analizuje mechanizm, konsekwencje i środki ochrony dla deweloperów.

Hakerzy zhakowali LiteLLM: 97 mln instalacji zagrożonych
Advertisement 728x90

Atak na łańcuch dostaw LiteLLM: jak hakerzy zhakowali startup AI Mercor

Platforma AI Mercor, specjalizująca się w rekrutacji do trenowania modeli AI, padła ofiarą ataku poprzez skompromitowanie biblioteki Python LiteLLM. Incydent dotknął platformy wycenianej na 10 mld USD, która codziennie wypłaca kontrahentom ponad 2 mln USD. Hakerzy skompromitowali Trivy, uzyskali dostęp do PyPI i opublikowali złośliwe wersje 1.82.7 i 1.82.8 biblioteki, używanej jako proxy dla API LLM.

Mechanizm ataku przez PyPI

Atak rozpoczął się 24 marca: grupa TeamPCP zhakowała skaner luk Trivy, wyciągnęła token publikacji i wgrała zainfekowane pakiety LiteLLM. Biblioteka jest pobierana 97 mln razy miesięcznie i służy jako ujednolicony interfejs do modeli OpenAI, Anthropic i innych.

Złośliwy kod aktywował się podczas instalacji, bez potrzeby importu litellm. Wyciągał:

Google AdInline article slot
  • Klucze SSH;
  • Poświadczenia chmurowe;
  • Sekrety Kubernetes;
  • Klucze API dostawców.

Odkrycie nastąpiło z powodu błędu w malware: plik .pth powodował rekurencyjne forki procesów, co doprowadziło do fork-bomby. To zawaliło system inżyniera FutureSearch, ujawniając incydent.

Skutki dla Mercor i ekosystemu

Grupa Lapsus$ ogłosiła kradzież 4 TB danych Mercor przez Tailscale VPN. Wyciek obejmuje:

  • 939 GB kodu źródłowego;
  • 211 GB bazy użytkowników;
  • 3 TB nagrań wideo z rozmów i dokumentów weryfikacyjnych.

Analiza próbek wykazała dane ze Slacka, systemów ticketowych i logów agenta AI. Mercor potwierdziła opanowanie incydentu, odmawiając komentarzy na temat wycieku danych klientów. LiteLLM usunęła wersje, wstrzymała wydania i zmieniła dostawcę compliance na Vanta.

Google AdInline article slot

To element kampanii TeamPCP: wcześniej skompromitowano Axios w npm, łącznie ponad 60 pakietów w różnych rejestrach.

Luk w łańcuchu dostaw w ekosystemie Python

LiteLLM jako proxy dla LLM-API jest kluczowy dla aplikacji AI. Atak pokazuje ryzyka:

  • Zależność od otwartych pakietów bez weryfikacji;
  • Brak sandboxingu podczas instalacji;
  • Skala rozprzestrzeniania (97 mln instalacji/mies.).

Programistom zaleca się:

Google AdInline article slot
  • Sprawdzanie hashów pakietów przed instalacją;
  • Używanie wirtualnych środowisk z przypiętymi wersjami;
  • Monitorowanie zależności za pomocą narzędzi jak Dependabot czy Snyk;
  • Audyt łańcucha dostaw z użyciem frameworka SLSA.

Co ważne

  • Skala zagrożenia: Jedna skompromitowana zależność dotknęła tysięcy projektów AI, używających LiteLLM jako bramy do LLM.
  • Szczegóły techniczne: Malware kradło sekrety podczas pip install, bez importu w runtime, przez mechanizm .pth.
  • Reakcja: PyPI usunął pakiety, LiteLLM przeprowadza audyt; Mercor zatrudniła kryminalistów.
  • Szerszy kontekst: Kampania TeamPCP dotknęła >60 pakietów, w tym npm.

Incydent podkreśla konieczność zero-trust w bezpieczeństwie łańcucha dostaw dla infrastruktury AI.

— Editorial Team

Advertisement 728x90

Czytaj dalej