- El popular paquete Python LiteLLM se vio comprometido en un ataque a la cadena de suministro
- Actualización maliciosa (v1.82.7, v1.82.8) TeamPCP Cloud Stealer implementado InfoStealer
- Atacar certificados en la nube, secretos de Kubernetes, billeteras; Se solicita a los usuarios que roten el token y vuelvan a la versión segura.
Un paquete Python muy popular llamado LiteLLM fue comprometido y utilizado para instalar un malware InfoStellar en cientos de miles de dispositivos.
LiteLLM es una capa API liviana que permite a los usuarios llamar a múltiples modelos de IA (como OpenAI, Anthropic, etc.) a través de una interfaz unificada. Tiene más de 40.000 estrellas y más de 30.000 confirmaciones.
Según varios investigadores de seguridad, así como mantenedores del proyecto, los actores de amenazas que se hacen llamar TeamPCP pudieron acceder a las cuentas de LiteLLM y enviar dos actualizaciones maliciosas: LiteLLM 1.82.7 y 1.82.8.
El artículo continúa a continuación.
Robar privacidad
Se desconoce el número exacto de personas que han descargado esta actualización (y probablemente nunca se conocerá), pero algunas fuentes afirman que podría llegar a 500.000.
Computadora pitando Aqua Security informó esta violación como resultado directo de un compromiso previo en el escáner de vulnerabilidad Trivi de Aqua Security, luego de ataques similares a la imagen de Docker y al proyecto Checkmarks KICS.
A través del ataque a la cadena de suministro, TeamPCP distribuyó una información estelar personalizada llamada “TeamPCP Cloud Stealer”, así como un script de persistencia. Los investigadores de seguridad de Endor Labs dicen que el ataque se divide en tres fases:
“Una vez activada, la carga útil ejecuta un ataque de tres fases: recopila credenciales (claves SSH, tokens de nube, secretos de Kubernetes, billeteras criptográficas y archivos .env), intenta el movimiento lateral a través del clúster de Kubernetes implementando pods privilegiados en cada nodo e instala un sistema back-end para instalar un sistema adicional para cada nodo. Explica Endor Labs.
“Los datos externos se cifran y se envían a dominios controlados por el atacante”.
Infostellar ejecuta una verificación del sistema, obtiene credenciales de nube para Amazon, Google y Microsoft, y extrae claves privadas TLS y secretos de CI/CD.
Si ha instalado una versión maliciosa, asegúrese de rotar todos los secretos, tokens y certificados lo antes posible y monitorear el tráfico saliente a dominios de atacantes conocidos. Además, asegúrese de volver a la versión 1.82.3 o 1.82.6.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
