Eine neue Welle im Krieg über die Software-Versorgungskette zeigt wieder, wie zerbrechlich das Open Source-Ökosystem sein kann: Der schädliche Schauspieler namens TeamPCP konnte eine beliebte Python-Buchhandlung verletzen, Litells, und veröffentlichen Versionen mit schädlichem Code, die sich auf Entwicklungs- und Produktionsumgebungen verbreiten. Sicherheitsermittler, einschließlich Endor Labs und JFrog haben dokumentiert, wie die Versionen 1,82.7 und 1,82.8, die am 24. März 2026 hochgeladen wurden, eine komplexe Nutzlast enthalten, die darauf ausgelegt ist, Anmeldeinformationen zu stehlen, seitlich innerhalb von Kubernetes zu bewegen und eine persistente Hintertür zu etablieren.
Der Vektor des Eindringens scheint mit der Integration von Sicherheitswerkzeugen in die CI / CD-Pipeline zusammenzuhängen: die öffentliche Repo zeigt die Verwendung von Trivy in seinen Strömen, und die operative Einheit hätte von den Angreifern ausgenutzt worden, um die schädliche Änderung einfügen, bevor die Räder (Räder) in PyPI veröffentlicht wurden, von wo es von Projekten und Umgebungen aller Art heruntergeladen wurde. Die kompromittierten Versionen wurden bereits aus dem offiziellen Repository entfernt, aber der mögliche Schaden war bereits im Gange.
Aus technischer Sicht nutzt die Kampagne eine dreistufige Kette, die sie besonders gefährlich macht. Erstens, ein Anmeldeinformationen Sammler Tracks SSH Schlüssel, Cloud-Anmeldeinformationen, Kubernetes Geheimnisse, Kryptomoneda Portfolios und .env. Dateien. Diese Informationen werden verpackt und an einen Steuer- und Befehlsserver verschlüsselt gesendet; nach der Analyse wird die Datei "tpcp.tar.gz" genannt und durch eine HTTPS-Anforderung gesendet, um Modelle.litellm [.] Wolke. Parallel dazu versucht die anfängliche Last innerhalb von Kubernetes-Umgebungen zu klettern: Wenn Sie einen Service-Token erkennen, verwenden Sie die Cluster-API, um Nodes aufzulisten und privilegierte Pods bereitzustellen, die wiederum in das Host-Dateisystem chroot, um einen persistenten Dropper als Systemdienst zu installieren. Schließlich, dass persistent service - registriert als ~ / .config / sysmon / sysmon.py, der gleiche Name, der in früheren Verpflichtungen im Zusammenhang mit Trivy erschien - regelmäßig konsultieren Checkmarx [.] Zone / Zeile für zusätzliche Anweisungen oder binär. Ein neugieriges und häufiges Detail in diesen Kampagnen ist das Vorhandensein eines "Killenschalters": Wenn die wiederhergestellte URL Youtube enthält [.] com, der Code abbricht die Ausführung.
Die beiden schädlichen Versionen verwendet verschiedene Techniken, um ihre Reichweite zu maximieren. In 182.7 wurde der Code in litellm / proxy / proxy _ Server. Hefe und wurde für den Import dieses Moduls entwickelt, so dass jeder Prozess, der Import von Litellm. proxy.proxy _ Server aktiviert die Last ohne Benutzerinteraktion. In der folgenden Iteration waren 1,82.8 die Angreifer aggressiver: sie fügten eine Datei hinzu init.pth an der Wurzel des Rades. Die .pth-Dateien werden automatisch von der Website verarbeitet. py, wenn Sie den Python-Interpreter starten, so dass Technik Ihnen erlaubt, Code jedes Mal, wenn ein Python-Prozess in der Umgebung beginnt, nicht nur, wenn Litelm importiert wird. Darüber hinaus ruft die .pth einen Subprozess im Hintergrund an, indem Subprozess. Pops, die unbemerkt Ausführung der schädlichen Last als Kind Prozess erleichtert.
Dieser decodierte Orchestermeister entdeckt den Anmeldeinformationen Sammler und den Persistenz-Installator. Der Mechanismus der seitlichen Bewegung in Kubernetes montiert Pods mit Privilegien, die eine Rolle zum Host-System machen - eine Technik bekannt und in der Fachliteratur weit beschrieben ( entwurzelt) - und den Systemdienst bereitstellen, der als persistente Eingangstür für nachfolgende Payload-Downloads fungiert. Die Exfiltrationsstrategie, die Persistenz durch systemd und das Kill Switch-Muster sind mit anderen Intrusionen, die diesem Schauspieler zugeschrieben werden, konsistent.
Diese Episode ist kein isolierter Fall: TeamPCP hat ein Muster des Kletterns gezeigt, das Teil der Kompromisswerkzeuge in CI / CD-Pipelines ist und endet bis zu Produktionsumgebungen durch angeblich zuverlässige Artefakte. Laut der öffentlichen Analyse hat die Kampagne mehrere Ökosysteme - GitHub Actions, Docker Hub, npm, Open VSX und jetzt PyPI - beeinflusst, indem sie ihre Fähigkeit erweitert, auf einer sehr vielfältigen Infrastruktur und Projektbasis zu handeln. Mehrere Branchenexperten haben über den Domino-Effekt gewarnt: ein engagiertes Werkzeug kann Schlüssel geben, um andere zu verletzen, in einem Zyklus, der zurückgespeist wird. Entwicklungsorganisationen und Teams sind daher gezwungen, auf eine Bedrohung zu reagieren, die im Herzen des Vertrauens in die Software-Versorgungskette angreift.
Forscher und Lieferanten haben technische Berichte und Empfehlungen veröffentlicht, die gelesen werden sollten, um Umfang und Minderung zu verstehen. Berichte wie Endor Labs und JFrog geben Sie Details über Malware-Verhalten und wie es eingefügt wurde, während komplementäre Analyse in spezialisierten Medien fasst das Timing des Angriffs und der Eingriffssignale zusammen.
Wenn Sie Umgebungen mit Python, automatisierten Containern oder Pipelines verwalten, ist es eine Priorität zu überprüfen, ob eine der kompromittierten Versionen von Litelm heruntergeladen wurde. Audit-Einrichtungen in virtuellen Umgebungen und Produktionssystemen, Suche nach verdächtigen Dateien in Site-Paketen (wie litelm _ init.pth), überprüfen Python Prozesse im Hintergrund und überprüfen nach persistenten Diensten installiert unter ~ / .config / sysmon sind dringende erste Schritte. Es ist auch erforderlich, Kubernetes-Cluster durch nicht autorisierte Pods oder mit hohen Privilegien zu inspizieren und Netzwerkrekorde auf der Suche nach ausgehendem Verkehr auf Domänen im Zusammenhang mit der Operation zu analysieren, insbesondere Modelle.litellm [.] Wolke und Checkmarx [.] Zone. Nicht weniger wichtig ist die Prüfung von CI / CD-Pipelines, um zu erkennen, ob Werkzeuge wie Trivy oder KICS im Eingriffsfenster verwendet wurden und gegebenenfalls die möglicherweise exponierten Anmeldeinformationen zu rotieren und zu widerrufen.
Die Sicherheitsgemeinschaft hat bereits Werkzeuge und Techniken umgesetzt und gemeinsam entdeckt, aber Infrastrukturbetreiber müssen schnell und vorsichtig handeln: die Isolierung von engagierten Hosts, die Beseitigung identifizierter Persistenzmechanismen, die Wiederherstellung kritischer Geräte aus einem sauberen Quellcode und die Rotation von Schlüsseln und Anmeldeinformationen sind Maßnahmen, die, obwohl teuer, die Fähigkeit des Angreifers, sich auf neue Ziele zu bewegen. Parallel dazu ist es notwendig, die Vertrauenspolitik in externe Artefakte umzudenken und die Prüfung und Überwachung in den Pipelines zu stärken.
Die öffentliche Bronze der Gruppe selbst, die sich auf ihrem Telegram-Kanal ausbreitet, macht deutlich, dass ihre Absicht ist, die Kampagne zu verlängern und zu erweitern; und die Stimmen des Sektors, wie die von Gal Nagli de Wiz, haben die zyklische Natur des Problems betont: die Kompromissierung eines Sicherheitstools kann mehrere Verpflichtungen in Kaskaden auslösen. Für diejenigen, die Projekte und Einheiten pflegen, ist die Lektion schmerzhaft, aber notwendig: nicht Sicherheitseinheiten als unschädlich zu nehmen und Schutzbarrieren um die Prozesse zu stärken, die Software generieren, packen und veröffentlichen.
Um die technischen Berichte und die Entwicklung dieses Vorfalls zu vertiefen, empfehle ich die Analyse von Endor Labs, der Bericht JFrog und die Stücke, die den Fall in spezialisierten Medien zusammenfassen, sowie folgen Sie den Updates auf den offiziellen Kanälen, wo Beweise und IOCs veröffentlicht wurden. Die Sicherheit der Lieferkette ist heute ein kritisches und kollektives Problem: Der Schutz erfordert sowohl die besten technischen Praktiken als auch die Koordination zwischen Entwicklern, Projektmanagern und Sicherheitsteams.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...