Siber Guvenlik

TeamPCP Saldırısı: Trivy CI/CD Açığı Üzerinden LiteLLM Paketlerine Kritik Arka Kapılar Yerleştirildi

TeamPCP siber suç grubu, Trivy ve KICS'i hedef aldıktan sonra popüler Python paketi LiteLLM'i ele geçirdi. 1.82.7 ve 1.82.8 sürümlerine sızdırılan arka kapı, kimlik avı ve Kubernetes hareketliliği içeriyor.

M
Mehmet SARI
19 görüntülenme
TeamPCP Saldırısı: Trivy CI/CD Açığı Üzerinden LiteLLM Paketlerine Kritik Arka Kapılar Yerleştirildi

TeamPCP'den Yeni Tehdit: LiteLLM Paketleri Güvenliği Tehlikede

Siber güvenlik dünyası, son dönemde artan tedarik zinciri saldırılarıyla çalkalanıyor. Özellikle DevOps araçlarını hedef alan TeamPCP adlı tehdit aktörü, en son kurbanı olarak popüler bir Python kütüphanesi olan LiteLLM'i seçti.

Daha önce Trivy ve KICS gibi kritik CI/CD araçlarını başarıyla hedef alan TeamPCP, bu kez LiteLLM'in 1.82.7 ve 1.82.8 sürümlerine sızarak geliştiricileri ve son kullanıcıları doğrudan riske attı.

Saldırının Detayları ve İçerdiği Tehlikeler

Endor Labs ve JFrog gibi önde gelen güvenlik firmalarının ortaya çıkardığı bulgulara göre, tehlikeye atılan bu sürümler, basit bir hata düzeltmesi değil, sofistike bir saldırı altyapısı barındırıyor. Bu arka kapılar, saldırganlara geniş çaplı erişim sağlamak üzere tasarlanmıştır.

  • Kritik Bilgi Toplama (Credential Harvester): Paket içinde gizlenmiş olan kötü amaçlı kod, sistem üzerinde çalışan uygulamalardan hassas kimlik bilgilerini (API anahtarları, parolalar vb.) toplamak üzere ayarlanmıştır.
  • Kubernetes Lateral Movement Toolkit: Saldırının en endişe verici bileşenlerinden biri, Kubernetes ortamlarında yanal hareket (lateral movement) yeteneği sunan araçların eklenmesidir. Bu, bir kere sisteme sızıldığında, saldırganların konteyner orkestrasyon altyapısı içinde hızla yayılmasına olanak tanır.
  • Kalıcı Arka Kapı (Persistent Backdoor): Geliştiricilerin fark etmesini zorlaştırmak amacıyla, sisteme kalıcı bir erişim noktası bırakılmıştır. Bu, gelecekteki saldırılar için sürekli bir gözetleme imkanı sunar.

LiteLLM, özellikle büyük dil modelleri (LLM'ler) ile çalışan uygulamalar için standart bir arayüz görevi gördüğünden, bu saldırının etkisi geniş bir yelpazede hissedilecektir. Yapay zeka tabanlı ürünler geliştiren şirketlerin acilen bu sürümleri kontrol etmesi gerekmektedir.

BT Ekipleri İçin Acil Eylem Planı

Bu tür tedarik zinciri saldırıları, geleneksel güvenlik çözümlerinin ötesinde, yazılım bileşeni bütünlüğüne odaklanmayı zorunlu kılar. BT ve Güvenlik Operasyonları (SecOps) ekiplerinin atması gereken adımlar şunlardır:

  1. Sürüm Kontrolü: LiteLLM'in 1.82.7 ve 1.82.8 sürümlerini kullanan tüm projelerin derhal tespit edilmesi.
  2. İzolasyon ve Kaldırma: Etkilenen paketlerin izole edilmesi ve en kısa sürede güvenli bir sürüme (mümkünse en son kararlı sürüme) güncellenmesi.
  3. Bağımlılık Tarama: Trivy veya benzeri araçlarla, tedarik zincirindeki tüm bağımlılıkların (dependencies) derinlemesine taranması ve şüpheli davranışların izlenmesi.
  4. Kod İncelemesi: Kritik sistemlerde kullanılan LiteLLM çağrılarının, beklenen davranışları gösterip göstermediğinin manuel olarak doğrulanması.

TeamPCP'nin bu karmaşık saldırısı, modern yazılım geliştirme süreçlerinde güvenlik denetimlerinin ne kadar hayati olduğunu bir kez daha kanıtlamaktadır. Proaktif izleme ve hızlı müdahale, bu tür tedarik zinciri risklerini yönetmenin anahtarıdır.

İlgili Yazılar