Paket PyPI Populer LiteLLM Disusupi Backdoor untuk Curi Kredensial dan Token

Kelompok peretas TeamPCP kembali melanjutkan amuk serangan rantai pasokan (supply-chain attack) mereka. Target terbarunya adalah “LiteLLM”, sebuah paket Python yang sangat populer di repositori PyPI. Peretas mengklaim telah mencuri data dari ratusan ribu perangkat selama kampanye serangan ini berlangsung.

LiteLLM sendiri merupakan pustaka Python sumber terbuka (open-source) yang berfungsi sebagai gerbang penghubung (gateway) ke berbagai penyedia model bahasa besar (LLM) melalui satu API tunggal. Skala penggunaan paket ini sangat masif, mencatat lebih dari 3,4 juta unduhan setiap harinya dan menembus 95 juta unduhan dalam sebulan terakhir.

Berdasarkan penelitian dari Endor Labs, aktor ancaman berhasil menyusupi proyek ini dan menerbitkan dua versi berbahaya, yakni LiteLLM 1.82.7 dan 1.82.8, ke PyPI. Kedua versi ini menyebarkan malware pencuri informasi (infostealer) yang dirancang untuk memanen berbagai data sensitif.

Serangan ini diakui oleh TeamPCP, kelompok yang sama di balik insiden pembobolan pemindai kerentanan Trivy milik Aqua Security, proyek Checkmarx KICS, hingga penyebaran malware wiper penghancur di klaster Kubernetes Iran. Sumber internal menyebutkan bahwa terdapat sekitar 500.000 eksfiltrasi data, meskipun BleepingComputer belum dapat mengonfirmasi angka tersebut secara independen.

Mekanisme Serangan dan Injeksi Payload

Endor Labs melaporkan bahwa kode berbahaya disuntikkan ke dalam direktori litellm/proxy/proxy_server.py sebagai payload berenkode base64. Payload ini akan didekripsi dan dieksekusi secara otomatis setiap kali modul tersebut diimpor.

Lebih parahnya, versi 1.82.8 memperkenalkan fitur yang jauh lebih agresif. Versi ini menginstal fail .pth bernama litellm_init.pth langsung ke dalam lingkungan Python. Mengingat Python secara otomatis memproses semua fail .pth saat interpreter mulai berjalan, kode berbahaya ini akan terus dieksekusi setiap kali sistem menjalankan Python, terlepas dari apakah paket LiteLLM sedang digunakan atau tidak.

Setelah dieksekusi, payload akan menyebarkan varian dari malware andalan mereka, “TeamPCP Cloud Stealer”, beserta skrip persistensi (akses berkelanjutan). Skrip persistensi ini akan menginstal layanan systemd pengguna yang disamarkan sebagai “System Telemetry Service”, yang secara berkala menghubungi peladen jarak jauh di checkmarx[.]zone untuk mengunduh payload tambahan.

Spektrum Data yang Dicuri

Pencuri informasi ini menargetkan dan memanen berbagai macam rahasia autentikasi tingkat tinggi, yang meliputi:

• Pengintaian sistem (menjalankan perintah seperti hostname, pwd, whoami, ip addr).
• Kunci SSH dan fail konfigurasinya.
• Kredensial cloud untuk layanan AWS, GCP, dan Azure.
• Token akun layanan Kubernetes dan rahasia klaster.
• Fail lingkungan (environment files) seperti varian .env.
• Kredensial basis data (database) dan fail konfigurasinya.
• Kunci privat TLS dan rahasia CI/CD.
• Data dompet mata uang kripto (cryptocurrency wallet).

Seluruh data curian ini kemudian dibundel ke dalam sebuah arsip terenkripsi bernama tpcp.tar.gz dan dikirim (eksfiltrasi) secara diam-diam ke infrastruktur yang dikendalikan oleh penyerang di models.litellm[.]cloud.

Langkah Mitigasi: Rotasi Kredensial Sekarang Juga!

Kedua versi LiteLLM yang disusupi malware kini telah ditarik dan dihapus dari repositori PyPI. Versi bersih terbaru yang direkomendasikan saat ini adalah versi 1.82.6.

Bagi organisasi atau pengembang yang menggunakan LiteLLM, para pakar sangat menyarankan untuk segera mengambil langkah berikut:

1. Periksa sistem untuk memastikan tidak ada instalasi versi 1.82.7 atau 1.82.8.
2. Segera lakukan rotasi (penggantian) terhadap semua rahasia, token, kata sandi, dan kredensial yang tersimpan di perangkat yang terdampak.
3. Cari artefak persistensi yang mencurigakan di dalam sistem, seperti ~/.config/sysmon/sysmon.py.
4. Periksa keberadaan fail ganjil seperti /tmp/pglog dan /tmp/.pg_state.
5. Tinjau ulang klaster Kubernetes Anda untuk mencari pod yang tidak sah pada namespace kube-system.

Jika sistem dicurigai telah terkompromi, seluruh kredensial yang ada di dalamnya harus dianggap sudah bocor dan terekspos. Merotasi kredensial memang merepotkan, namun ini adalah cara paling efektif untuk memutus rantai pasokan serangan siber yang berpotensi meluas.