월간 다운로드 수가 거의 1억 건에 달하는 AI 소프트웨어 제품군인 LiteLLM이 공급망 공격을 받아 암호화된 지갑과 SSH 키가 손상되었습니다(긴급 복구 조치 포함).

avatar
BlockTempo
이 기사는 기계로 번역되었습니다
원문 표시

월간 다운로드 9,700만 건을 기록하는 오픈소스 AI 소프트웨어인 LiteLLM이 24일 공급망 공격을 받은 것으로 확인되었습니다. 감염된 두 버전(v1.82.7 및 v1.82.8)에는 암호화된 지갑, SSH 키, 클라우드 자격 증명 등 거의 모든 중요 정보를 체계적으로 탈취할 수 있는 악성 코드가 포함되어 있었습니다.

슬로우 미스트 (SlowMist) Technology의 사이버 보안 책임자인 23pds는 오늘 아침 X에 대한 뉴스를 인용하며 심각한 경고를 발표했습니다.

누가 발견했나요? 공격자는 누구였나요?

FutureSearch 엔지니어인 Daniel Hnyk은 해당 취약점을 최초로 발견한 전문가입니다. 그와 Callum McMahon은 LiteLLM이 Cursor MCP 추가 기능의 간접적인 종속성으로 도입되었을 때 비정상적인 동작을 감지했고, 이후 리버스 엔지니어링을 시작했습니다.

나중에 공격자들이 TeamPCP 라는 해커 그룹임이 밝혀졌습니다. 이 그룹은 이전에 유명한 오픈 소스 보안 스캐너인 Trivy의 CI/CD 파이프라인을 해킹하여 LiteLLM 관리자의 PyPI 계정 자격 증명을 획득한 후 백도어가 포함된 악성 버전 두 개를 업로드했습니다.

3단계 공격 메커니즘

악성 코드 실행은 서로 연관된 세 단계로 구성됩니다.

1단계 - 자격 증명 수집 : 설치 후 악성 `.pth` 파일(`litellm_init.pth`)이 `import` 지시문 없이도 Python 프로그램이 시작될 때마다 자동으로 실행됩니다. 탈취되는 정보에는 SSH 키, `.env` 파일(API 키 포함), AWS/GCP/Azure 클라우드 자격 증명, Kubernetes 구성, Git 자격 증명, 셸 명령 기록, 암호 화폐 지갑 파일 및 데이터베이스 암호가 포함됩니다.

2단계 - 데이터 유출 : 탈취된 모든 데이터는 하드코딩된 4096비트 RSA 공개 키와 AES-256-CBC로 암호화된 후, tar 아카이브로 압축되어 `https://models.litellm.cloud/` 도메인으로 POST 요청을 통해 전송되었습니다. 이 도메인은 공식 LiteLLM 웹사이트와는 아무런 관련이 없으며, 공격자들이 직접 설정한 데이터 유출 엔드포인트입니다.

3단계 - 측면 이동 및 지속성 확보 : 해당 시스템이 Kubernetes 토큰을 보유하고 있는 경우, 악성코드는 모든 네임스페이스의 비밀 키를 읽어 각 kube-system 노드에 권한 있는 `alpine:latest` Pod를 배포하고 호스트 파일 시스템을 마운트합니다. 동시에 `/root/.config/sysmon/sysmon.py`에 영구적인 백도어를 설치하고 재부팅 후에도 유지되도록 systemd 사용자 서비스를 설정합니다.

이벤트 타임라인

사건 전체는 10시간도 채 안 되는 짧은 시간 안에 급속도로 전개되었습니다.

3월 24일 10시 52분 UTC : v1.82.8 버전이 PyPI에 업로드되었습니다.
12:30 UTC : v1.82.7 버전도 감염된 것으로 확인되었습니다. – 13:03 UTC : GitHub 알림 문제가 봇에 의해 스팸으로 잘못 분류되어 "예정되지 않음"으로 태그, 이로 인해 공개 경고가 지연되었습니다. – 20:15 UTC : 감염된 버전이 PyPI에서 최종적으로 철수, 격리 조치가 해제되었습니다.

악성 버전이 실행된 시점부터 철수 때까지 약 9시간 동안 노출되었습니다.

암호화폐 개발자들이 리스크 으로 여겨지는 이유는 무엇일까요?

LiteLLM은 현재 가장 이슈 AI 모델 에이전트 제품군 중 하나이며, 대량 암호화폐 및 DeFi 프로젝트에서 AI 에이전트 인프라의 모델 라우팅 레이어로 사용하고 있습니다. 이번 공격으로 암호화폐 지갑 파일이 탈취 대상 목록에 직접 포함되었으며, 이는 동일한 컴퓨터에서 LiteLLM을 실행하고 암호화폐 자산을 보유한 모든 개발자가 직접적인 리스크 에 처해 있음을 의미합니다.

더욱 우려스러운 점은 공격 방식 자체입니다. MCP 애드온을 통해 간접적인 종속성을 도입함으로써 개발자는 LiteLLM을 설치했는지조차 인지하지 못할 수 있습니다. 이는 AI 에이전트 툴체인에 구조적인 보안 사각지대가 있음을 보여줍니다. 애드온 생태계의 종속성 구조가 복잡해질수록 공급망 공격의 취약성이 커지는 것입니다.

긴급 수리 단계

LiteLLM을 설치한 개발자는 즉시 다음 사항을 확인해야 합니다.

1. `pip show litellm` 명령어를 사용하여 현재 버전을 확인하십시오. v1.82.7 또는 v1.82.8은 손상된 버전입니다.
2. 문제가 있는 버전을 제거하고 pip 캐시를 지우세요.
3. `~/.config/sysmon/sysmon.py` 및 `sysmon.service` 파일이 존재하는지 확인하십시오.
4. Kubernetes 환경: `kube-system` 네임스페이스에서 `node-setup-*` Pod를 검색합니다.
5. 모든 SSH 키, 클라우드 자격 증명(AWS/GCP/Azure), API 키 및 암호화된 지갑 개인 키는 유출되었을 가능성이 높으므로 즉시 교체해야 합니다.

출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠