Trend Micro ha descubierto una de las campañas de cadena de suministro multiecosistema más sofisticadas documentadas públicamente, que se dirige a LiteLLM, un paquete Python ampliamente utilizado para servicios de inteligencia artificial (IA). Las versiones 1.82.7 y 1.82.8 contenían código malicioso que desplegaba un cargamento en tres etapas: robo de credenciales, movimientos laterales de Kubernetes y backdoor persistente para la ejecución remota de código. El ataque se centró en credenciales de nube, claves SSH e secretos de Kubernetes, lo que llevó al robo de datos sensibles y su cifrado antes de su extracción.
La campaña abarcó varios ecosistemas incluyendo PyPI, npm, Docker Hub, GitHub Actions y OpenVSX. Las tácticas de TeamPCP implicaron el aprovechamiento de pipelines CI/CD comprometidos y escáneres de seguridad como Trivy para elevar privilegios y propagar cargamentos maliciosos. El ataque comenzó con sistemas en producción que ejecutaban LiteLLM caídos debido a errores de memoria (OOM), lo cual apuntaba al paquete comprometido.
El cargamento técnico incluyó un robar credenciales que se dirigía a más de 50 categorías de secretos, una herramienta de Kubernetes para el compromiso de clústeres y un backdoor persistente que permitía la ejecución remota de código en curso. Este ataque sofisticado subraya la necesidad de medidas de seguridad mejoradas en servicios de proxy de IA y enfatiza la importancia crítica de monitorear las dependencias del cadena de suministro para proteger datos sensibles e integridad operativa.
Las versiones comprometidas de LiteLLM se desplegaron en plataformas principales, lo que indica el tamaño y sofisticación de esta ataque multiecosistema. El incidente destaca los riesgos asociados con la dependencia de herramientas externas para la infraestructura de IA y el necesitado de prácticas de seguridad robustas para proteger información confidencial.