TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
รายงานฉบับใหม่จากทีมวิจัย X-Labs ของบริษัทความมั่นคงปลอดภัยไซเบอร์ Forcepoint ได้ให้รายละเอียดเกี่ยวกับการโจมตีห่วงโซ่อุปทานที่เจาะระบบ LiteLLM ซึ่งเป็นไลบรารี Python แบบโอเพนซอร์สที่ใช้กันอย่างแพร่หลายในฐานะเกตเวย์รวมศูนย์สำหรับผู้ให้บริการโมเดลภาษาขนาดใหญ่กว่า 100 ราย โดยการโจมตีนี้ได้เปลี่ยนแพ็กเกจอันตราย 2 เวอร์ชันให้กลายเป็นเครื่องมือขโมยข้อมูลประจำตัวที่มุ่งเป้าไปยังสภาพแวดล้อมคลาวด์และปัญญาประดิษฐ์
การโจมตีครั้งนี้ถูกระบุว่าเป็นฝีมือของกลุ่มภัยคุกคามที่ติดตามในชื่อ TeamPCP ซึ่งได้ส่ง LiteLLM เวอร์ชันอันตราย ได้แก่ 1.82.7 และ 1.82.8 เข้าสู่ Python Package Index (PyPI) ทั้งนี้การเจาะระบบไม่ได้เกิดจากการบุกรุกคลังเก็บซอร์สโค้ดของ LiteLLM โดยตรง แต่ผู้โจมตีเข้าถึงแพ็กเกจผ่านไปป์ไลน์การสร้างหลังจากที่ได้วางยา Trivy ซึ่งเป็นเครื่องมือสแกนหาช่องโหว่แบบโอเพนซอร์สยอดนิยมที่ใช้ในเวิร์กโฟลว์ CI/CD ของ LiteLLM
ข้อมูลจาก Forcepoint ระบุว่า TeamPCP ได้เข้ายึด Trivy ก่อนหน้านี้โดยการปลอมแปลงตัวตนเป็นผู้ดูแลระบบที่ถูกต้องและส่งการแก้ไขโค้ดแบบสวมรอย จากนั้นจึงทริกเกอร์ไปป์ไลน์การปล่อยเวอร์ชันโดยอัตโนมัติของโครงการเพื่อแพร่กระจายไฟล์ไบนารีที่มีแบ็คดอร์ผ่านทาง GitHub Releases, Docker Hub และ Amazon ECR เมื่อกระบวนการ CI/CD ของ LiteLLM ดึงเวอร์ชันของ Trivy ที่ถูกเจาะระบบมาใช้งาน ไฟล์ไบนารีอันตรายจะทำการสเครปข้อมูลจากหน่วยความจำ และดึงโทเค็น PYPI_PUBLISH ออกไป ผู้โจมตีจึงใช้ข้อมูลประจำตัวที่ขโมยมานี้เผยแพร่ LiteLLM เวอร์ชันของตนเองลงใน PyPI โดยตรง
เวอร์ชันอันตรายทั้งสองใช้เทคนิคการฉีดโค้ดที่ต่างกัน โดยเวอร์ชัน 1.82.7 มีเพย์โหลดที่เข้ารหัสแบบ Base64 ฝังอยู่ภายในไฟล์ proxy_server.py ซึ่งจะทำงานเมื่อพร็อกซีของ LiteLLM เริ่มต้นขึ้น ส่วนเวอร์ชัน 1.82.8 ใช้แนวทางที่แนบเนียนกว่าโดยการหย่อนไฟล์ litelllm_init.pth ลงใน site-packages เพื่อให้เพย์โหลดรันทุกครั้งที่ตัวแปลภาษา Python เริ่มทำงานในทุกกระบวนการถัดมา ไม่ว่าจะเป็นการนำเข้า LiteLLM อย่างชัดเจนหรือไม่ก็ตาม เพียงแค่ใช้คำสั่ง “pip install” มาตรฐานกับเวอร์ชันที่ปนเปื้อนก็เพียงพอที่จะกระตุ้นการทำงานของมันแล้ว
เมื่อเปิดใช้งาน เพย์โหลดจะสแกนตัวแปรสภาพแวดล้อมและไฟล์การกำหนดค่าเพื่อหาข้อมูลประจำตัวของบริการคลาวด์และ AI เป้าหมายรวมถึงคีย์ API ของ OpenAI Group, Anthropic และ Microsoft Azure พร้อมกับข้อมูลประจำตัว SDK ของ Amazon Web Services, Google Cloud และ Azure นอกจากนี้มัลแวร์ยังดึงไฟล์ kubeconfig และไฟล์ข้อมูลประจำตัว AWS จากไดเรกทอรีหลักของผู้ใช้อีกด้วย
ข้อมูลที่รวบรวมได้จะถูกเข้ารหัสด้วยคีย์เซสชัน AES-256-CBC ขนาด 32 ไบต์ที่สร้างผ่าน PBKDF2 บรรจุลงในไฟล์ชื่อ tpcp.tar.gz และส่งออกผ่าน curl ไปยังโดเมน models.litellm.cloud ซึ่งเป็นโดเมนเลียนแบบที่ผู้โจมตีควบคุมอยู่เพื่อให้ดูเหมือนโดเมนที่ถูกต้องของ LiteLLM
Forcepoint ระบุว่ามัลแวร์ยังได้ติดตั้งแบ็คดอร์แบบเรียกตรวจสอบที่ชื่อ Sysmon.py เพื่อการฝังตัวระยะยาว สคริปต์นี้จะหยุดการทำงาน 300 วินาทีในการรันครั้งแรก จากนั้นจะตรวจสอบ URL ระยะทางที่ checkmarx.zone ทุก ๆ 50 นาทีเพื่อรับคำสั่งใหม่ โดยจะดาวน์โหลดไฟล์ไบนารีที่ส่งกลับมาไปยัง /tmp/pglog และรันเป็นกระบวนการเบื้องหลัง
“สิ่งที่ทำให้แคมเปญนี้อันตรายเป็นพิเศษสำหรับทีม AI และ ML คือลักษณะของเป้าหมาย” Prashant Kumar นักวิจัยอาวุโสของ Forcepoint X-Labs เขียนในรายงาน “LiteLLM ทำหน้าที่เป็นเกตเวย์รวมศูนย์ไปยังผู้ให้บริการ AI รายใหญ่ หมายความว่าการเจาะระบบเพียงครั้งเดียวช่วยให้ผู้โจมตีเข้าถึงข้อมูลประจำตัวของ OpenAI, Anthropic และ Azure ได้พร้อมกัน การสูญเสียไลบรารีเดียวจึงหมายถึงการสูญเสียการควบคุมการเข้าถึงข้ามผู้ให้บริการ AI หลายรายที่เชื่อมต่ออยู่พร้อมกัน”
การเจาะระบบครั้งนี้สอดคล้องกับการสืบสวนคู่ขนานโดย Security Labs ของ Datadog ซึ่งในเดือนมีนาคมได้เชื่อมโยงแคมเปญของ TeamPCP กลุ่มเดียวกันนี้กับการเผยแพร่บน PyPI ที่เป็นอันตรายครั้งที่สองซึ่งมุ่งเป้าไปที่ชุดพัฒนาซอฟต์แวร์ Python ของบริษัท Telnyx
ที่มา: https://siliconangle.com/2026/05/18/forcepoint-details-teampcp-supply-chain-attack-turned-litellm-credential-stealer/
