Linux Новости

Как уязвимость Trivy привела к компрометации LiteLLM: разбор атаки на цепочку поставок

02.04.2026 через час

Инцидент с компрометацией библиотеки LiteLLM стал результатом сложной атаки на цепочку поставок, инициированной взломом сканера уязвимостей Trivy. Группа TeamPCP эксплуатировала ошибку конфигурации в GitHub Actions проекта Trivy, похитив привилегированный токен доступа. Злоумышленники модифицировали теги версий действия trivy-action, внедрив вредоносный код, который при запуске CI/CD-конвейеров зависимых проектов перехватывал переменные окружения. Это позволило украсть токен публикации PyPI проекта LiteLLM и выпустить зараженные версии v1.82.7 и v1.82.8, содержащие скрипт для кражи учетных данных пользователей LLM. Для сокрытия следов атака сопровождалась спам-кампанией в репозиториях. Эксперты рекомендуют немедленно отозвать все токены, используемые в средах с LiteLLM, и перейти к фиксации SHA-хэшей коммитов в конвейерах сборки вместо плавающих тегов версий. Также критически важно внедрить механизмы Trusted Publishing и специализированные хранилища секретов для минимизации рисков утечки данных при компрометации инструментов безопасности.

Как уязвимость Trivy привела к компрометации LiteLLM: разбор атаки на цепочку поставок

Цепная реакция в экосистеме Python: как уязвимость сканера Trivy привела к компрометации LiteLLM

В мире открытого программного обеспечения, где доверие является фундаментальным принципом взаимодействия между разработчиками и пользователями, инциденты с цепочкой поставок (supply chain attacks) представляют собой одну из самых серьезных угроз. Недавнее событие, затронувшее популярный проект LiteLLM — открытый интерфейс для работы с множеством больших языковых моделей (LLM), — стало ярким примером того, насколько хрупкой может быть безопасность даже при наличии стандартных защитных мер. Две версии библиотеки, v1.82.7 и v1.82.8, были вынуждены быть удалены с Python Package Index (PyPI) после обнаружения в них вредоносного кода, предназначенного для кражи учетных данных.

Этот инцидент не просто демонстрирует классическую атаку на репозиторий; он раскрывает сложную схему эксплуатации уязвимостей в инструментах безопасности, которые сами по себе призваны защищать инфраструктуру. Атака началась с компрометации CI/CD-конвейера проекта Trivy, одного из ведущих инструментов сканирования уязвимостей с открытым исходным кодом, поддерживаемого компанией Aqua Security. Злоумышленники использовали эту брешь для внедрения вредоносного кода в процессы сборки других проектов, включая LiteLLM, что привело к утечке критически важных токенов доступа и публикации зараженных пакетов.

Механика атаки: от конфигурации GitHub Actions до кражи токенов

Чтобы понять масштаб угрозы, необходимо детально рассмотреть технический путь, который прошли злоумышленники, известные в сообществе под псевдонимом TeamPCP. Атака не была случайной попыткой взлома конкретного репозитория; это был тщательно спланированный сценарий, эксплуатирующий архитектурные особенности современных систем непрерывной интеграции и доставки (CI/CD).

Все началось еще в конце февраля, когда группа злоумышленников обнаружила ошибку конфигурации в среде GitHub Actions, используемой проектом Trivy. Эта ошибка позволила им похитить токен привилегированного доступа, который давал возможность манипулировать процессами сборки и развертывания самого сканера уязвимостей. Однако вместо того чтобы сразу публиковать явно вредоносные версии, attackers выбрали более изощренный подход, направленный на максимальное распространение ущерба без немедленного обнаружения.

Ключевым моментом атаки стало использование механизма тегов версий в GitHub Actions. Многие организации и проекты, стремясь к стабильности, но не всегда уделяя должного внимания деталям, используют теги версий (например, `v0.69`) для вызова действий в своих конвейерах, а не фиксируют конкретные коммиты (SHA-хэши). Злоумышленники воспользовались этой практикой: они модифицировали существующие теги версий, связанные со скриптом действия `trivy-action`, внедрив в них вредоносный код.

Результатом стал эффект «тихой подмены». Организации, чьи CI/CD-конвейеры уже работали с Trivy, продолжали выполнять свои задачи, считая, что запускают проверенный и безопасный инструмент. На самом деле, каждый запуск конвейера выполнял скрытый вредоносный скрипт. Это позволило злоумышленникам получить доступ к переменным окружения, хранящимся в репозиториях проектов, использующих Trivy, включая чувствительные данные, такие как токены публикации PyPI.

Хронология событий и эскалация угрозы

Согласно данным компании Aqua Security, события развивались стремительно:

  • Конец февраля: Злоумышленники получают доступ к привилегированному токену через ошибку конфигурации в GitHub Actions проекта Trivy.
  • 19 марта: Используя украденные учетные данные, группа TeamPCP публикует вредоносный релиз Trivy версии v0.69.4.
  • 22 марта: Вредоносные версии Trivy v0.69.5 и v0.69.6 появляются в виде образов DockerHub, расширяя поверхность атаки на контейнеризированные среды.
  • Последствия для LiteLLM: В процессе выполнения зараженного конвейера LiteLLM, токен `PYPI_PUBLISH`, хранящийся в репозитории проекта как переменная `.env`, был перехвачен и передан злоумышленникам. С его помощью они смогли подписать и опубликовать на PyPI две версии библиотеки (v1.82.7 и v1.82.8), содержащие файл `litellm_init.pth` с кодом для кражи учетных данных.

Такая схема атаки демонстрирует, как один компонент инфраструктуры безопасности может стать точкой входа для компрометации десятков или сотен зависимых проектов. Использование легитимных инструментов безопасности против их же владельцев — тактика, которая становится все более распространенной в арсенале киберпреступников.

Ущерб для LiteLLM и риски для пользователей LLM

LiteLLM представляет собой критически важный слой абстракции в современной экосистеме искусственного интеллекта. Проект позволяет разработчикам взаимодействовать с различными провайдерами больших языковых моделей через единый API, упрощая миграцию между моделями и управление ключами доступа. Компрометация такого инструмента несет в себе колоссальные риски, выходящие далеко за рамки простого заражения одного пакета.

CEO компании Berri AI, Крриш Долакья (Krrish Dholakia), подтвердил, что атака была направлена именно на получение доступа к токенам публикации. В своем заявлении он отметил, что токен `PYPI_PUBLISH` был скомпрометирован во время передачи в Trivy, где злоумышленники получили к нему доступ. Это позволило им внедрить вредоносный код в легитимные релизы библиотеки.

Файл `litellm_init.pth`, содержащий вредоносный код, был добавлен в состав зараженных версий. При установке этих версий пользователи, вероятно, не заметили ничего подозрительного, так как библиотека функционировала нормально, но в фоновом режиме происходило извлечение и передача учетных данных, доступных в среде выполнения LiteLLM. Учитывая, что LiteLLM часто используется для управления ключами API различных LLM-провайдеров (OpenAI, Anthropic, Google и др.), последствия утечки могут быть катастрофическими: от несанкционированного использования платных квот до доступа к конфиденциальным данным, обрабатываемым через модели.

Долакья подчеркнул, что команда проекта уже предприняла ряд срочных мер: все токены публикации PyPI были удалены, а аккаунты пересмотрены на предмет дополнительных уязвимостей. Несмотря на наличие двухфакторной аутентификации (2FA), проблема заключалась в том, что сам токен был скомпрометирован, что сделало 2FA бесполезной в данном контексте. В настоящее время команда рассматривает переход на более безопасные механизмы, такие как публикация через JWT-токены (Trusted Publishing) или миграция на другой аккаунт PyPI.

Тактика обмана: спам-атака на отчеты об уязвимостях

Одним из наиболее тревожных аспектов этого инцидента стала попытка злоумышленников замаскировать свою деятельность и затруднить реакцию сообщества. После того как уязвимость была обнаружена и создана соответствующая запись в репозитории GitHub, последовала скоординированная кампания по засорению обсуждения спамом.

В 05:44 по тихоокеанскому времени десятки комментариев, содержащих фразы вроде «Thanks, that helped!» («Спасибо, это помогло!»), начали появляться в отчете об уязвимости. Анализ показал, что эти сообщения, скорее всего, были сгенерированы искусственным интеллектом и имели целью создать шум, затрудняющий чтение реальных технических обсуждений и замедляя реакцию разработчиков и исследователей безопасности.

Исследователь безопасности Рами Маккарти (Rami McCarthy) провел анализ аккаунтов, оставивших эти комментарии, и обнаружил прямую связь с предыдущими атаками. Из 25 аккаунтов, использовавшихся для спама в отчете LiteLLM, 19 ранее участвовали в аналогичной кампании по засорению репозиториев Trivy. Это указывает на то, что TeamPCP использует централизованную сеть аккаунтов для проведения многоэтапных операций, включающих как техническую эксплуатацию уязвимостей, так и информационную диверсию.

Такая тактика имеет важное значение для понимания современного ландшафта киберугроз. Злоумышленники больше не ограничиваются только технической частью атаки; они активно работают над тем, чтобы скрыть следы своей деятельности, запутать исследователей и замедлить процесс исправления уязвимостей. Для команд реагирования на инциденты это означает необходимость фильтрации шума и быстрого выявления координированных атак на коммуникационные каналы.

Рекомендации для разработчиков и DevOps-инженеров

Инцидент с LiteLLM и Trivy служит серьезным предупреждением для всей экосистемы open-source. Он подчеркивает необходимость пересмотра подходов к управлению зависимостями, настройке CI/CD-конвейеров и защите секретов. Вот ключевые выводы и практические рекомендации, которые следует учесть:

Фиксация версий в CI/CD

Одной из главных причин успеха атаки стало использование плавающих тегов версий в GitHub Actions. Разработчикам настоятельно рекомендуется избегать использования тегов вида `latest` или `v1.x` в своих workflow-файлах. Вместо этого следует фиксировать конкретные SHA-хэши коммитов для всех внешних действий (actions). Это гарантирует, что даже если злоумышленник изменит содержимое тега, ваш конвейер продолжит использовать проверенную версию кода.

Защита секретов и токенов

Хранение чувствительных данных, таких как токены публикации PyPI, в переменных окружения репозитория (.env файлы) создает риск их утечки при компрометации любого инструмента, имеющего доступ к этим переменным. Рекомендуется использовать специализированные решения для управления секретами, такие как HashiCorp Vault, AWS Secrets Manager или встроенные функции защиты GitHub Actions, обеспечивающие минимальный набор прав доступа. Кроме того, переход на механизмы Trusted Publishing с использованием JWT-токенов значительно снижает риск несанкционированной публикации пакетов.

Аудит зависимостей и мониторинг

Разработчикам следует регулярно проводить аудит своих зависимостей и проверять целостность используемых инструментов безопасности. Важно не слепо доверять даже самым популярным проектам, таким как Trivy, и иметь механизмы для быстрого обнаружения изменений в их коде. Мониторинг активности в репозиториях, особенно появление подозрительных комментариев или изменений в тегах, может помочь выявить атаку на ранней стадии.

Реакция на инциденты

Если вы используете LiteLLM или другие библиотеки, которые могли быть затронуты этой атакой, немедленно проверьте установленные версии. Согласно совету Python Packaging Authority (PyPA), любые учетные данные, доступные в среде выполнения LiteLLM, должны считаться скомпрометированными. Необходимо немедленно отозвать и сгенерировать новые ключи API, токены доступа и пароли. Также стоит проверить логи выполнения ваших приложений на наличие подозрительной сетевой активности.

Значение для экосистемы Linux и открытого ПО

Этот инцидент имеет глубокие последствия для всей экосистемы Linux и open-source. Он демонстрирует, что безопасность — это не статичное состояние, а непрерывный процесс, требующий постоянного внимания и адаптации. Уязвимости в инструментах безопасности, таких как Trivy, могут привести к каскадным эффектам, затрагивающим множество проектов и организаций.

Для администраторов Linux-инфраструктуры и DevOps-инженеров важно понимать, что автоматизация, хотя и повышает эффективность, также увеличивает поверхность атаки. Ошибки в конфигурации CI/CD-конвейеров могут стать точкой входа для злоумышленников, позволяя им проникнуть в ядро разработки и распространения ПО. Это требует более строгого подхода к настройке сред сборки, изоляции процессов и контроля доступа.

Кроме того, инцидент подчеркивает важность прозрачности и сотрудничества в сообществе open-source. Быстрое выявление проблемы, своевременное оповещение пользователей и координация усилий по устранению уязвимости стали возможными благодаря активному участию разработчиков, исследователей безопасности и представителей компаний. Именно такая коллективная реакция позволяет минимизировать ущерб и восстановить доверие к экосистеме.

В контексте развития российского сегмента IT-инфраструктуры, где вопросы суверенитета и безопасности программного обеспечения стоят особенно остро, подобные инциденты служат важным уроком. Они показывают необходимость создания собственных решений и дистрибутивов, способных обеспечить высокий уровень защиты. Например, российский Linux-дистрибутив НАЙС.ОС, зарегистрированный в реестре отечественного ПО, предлагает альтернативу для построения защищенной инфраструктуры, учитывающую специфику локальных требований к безопасности и контролю над программным стеком.

В заключение, атака на LiteLLM через Trivy — это не просто технический сбой, а сигнал о необходимости пересмотра подходов к безопасности в эпоху сложных цепочек поставок. Только комплексный подход, включающий строгие практики разработки, тщательный аудит зависимостей и готовность к быстрому реагированию, позволит защитить экосистему open-source от подобных угроз в будущем.

Комментарии