TETPCP 与持证采集者和Kubernetes Rootkit一起的供应链袭击组合LiteLillM Python包

被确认为 " TETPCP " 的一个威胁行为体已升级其持续的供应链折中运动,包括受欢迎的Python AI基础设施一揽子计划LiteLLLM、将恶意代码输入第1.82.7和1.82.88版,以部署一个证书采集模块、Kubernetes集群渗透工具包和一个横跨受害者环境的持久系统后门。 Endo Labs和JFrog的安全研究人员记录了攻击矢量,该矢量来自LiteLLM的CI/CD输油管,其中包括原先在Trivy供应链袭击窗口期间失密的 Trivy安全扫描仪。 这两个恶意版本于2026年3月24日向人民党发表,随后在安全界确定妥协后被删除。 这次袭击是TETPCP的第三个生态系统枢纽,这是在GitHub行动工作流程和Docker Hub集装箱图像成功妥协后进行的。 1.82.7版本嵌入的恶意代码在导入 litellm.proxy.prxy_server 模块时自动执行,不需要用户互动或额外触发。 这一设计是指进口受损模块的任何应用程序、脚本或自动系统立即受到感染。 随后版本为1.82.88, 通过一个恶意的 litellm_init.pth 文件引入了一种更具攻击性的感染矢量。 此文件将利用 Python 的现场包装初始化机制触发有效载荷在全环境每次口译启动时执行,而不仅仅是当Clitellm被明确进口的时候。 二级有效载荷由三个协调组件组成,按顺序运行。 证书采集器清扫了SSH私人密钥、云源提供方认证标语、Kubernetes秘密物件、密码货币钱包数据以及载有API证明书的环境变量文件等受损害环境。 收获的材料被压缩成名为 tpcp.tar.gz 的加密档案,并通过HTTPS POPST 请求被排入指挥和控制域域模型.litellm.cloud。 第二个组成部分是Kubernetes横向移动工具包,利用服务账户代号来罗列一个集群内的所有节点,并在每个组中部署特权舱。 这些缓冲切根进入主机文件系统,并在每个节点上安装一个系统的用户服务持久性机制,从用户配置目录中装入名为 sysmon.py 的 Python 脚本。 这一脚本也曾用于先前的特里维妥协,每50分钟就进行检查,区/草以检索下一阶段有效载荷的 URL 指针。 研究人员发现,如果检索到的 URL 包含 Youtube.com , 剧本会中止使用——一种在TETPCP所有事故中一致的杀电模式,表明操作者有选择地停止作用的机制会破坏节点。 TeedPCP在一份电报中公开宣称了责任,指出该运动将大幅扩展,并与其他威胁行为体团体建立了伙伴关系,以使其他生态系统的混乱永久化。 “这些公司是为保护你们的供应链而建立的, 却连自己也保护不了。 现代安全研究的现状只是个笑话”, 安全分析员将这一事件描述为是公开源码基础设施供应链逐步崩溃的象征。 Google拥有Wiz的Gal Nagli在社交媒体上表示:「开放源码供应链本身正在崩溃, “Trivy 获得妥协,LitellM 获得来自数以万计环境的证书 最终落入攻击者的手中 这些证书导致下一个折衷方案。 事件链展示了单一的CI/CD工具折中方案如何在共享建筑和依赖基础设施的相互关联的开放源码项目之间横向传播。 建议在任何环境中使用闪石的各组织审计1.82.7和1.82.8版本,孤立受影响的系统,检查Kubernetes集群未经授权的特权舱,审查网络向指定C2域的传输记录,并轮换受影响环境的所有证书。 折中窗口加上证书积累意味着,即使组织不直接使用利特尔姆,而是与那些确实这样做的组织分享基础设施或全权证书,也应将环境视为可能受到损害。