Теперь про Иран, компрометацию экосистемы PyPI и тандем с Lapsus$. Часть 2. Как оказалось, тот же самый контейнер ICP, который использовался в атаке CanisterWorm на NPM, также применялся в кампании, нацеленной на Kubernetes. Главное отличие заключалось в том, что код включал в себя инструмент для удаления вредоносного ПО, предназначенный для кластеров, расположенных в Иране. В состав вредоносной ПО входит стандартное обнаружение подов Kubernetes, развертываются привилегированные DaemonSet на каждом узле, а также устанавливается бэкдор CanisterWorm в качестве службы systemd, обеспечивая сохранение данных на уровне инструментов PostgreSQL. Как сообщают в Aikido, в более поздних версиях атаки вредоносное ПО добавило в себя сетевое перемещение по сети, используя SSH через скомпрометированные ключи и анализ журналов аутентификации, а также эксплуатируя открытые API Docker. Код также проверяет системный часовой пояс и локаль и, если обнаруживает машины, настроенные для Ирана, запускает DaemonSet для очистки всего кластера. Операция получила название «Камикадзе» и включает монтаж корневой файловой системы хоста, зачистку содержимого верхнего уровня и последующую перезагрузку системы. Операция выполняется на всех узлах, включая плоскость управления, уничтожая весь кластер. В системах, настроенных для Ирана и не использующих Kubernetes, при наличии доступа с root, вредоносная ПО уничтожает все данные. Если же доступа нет, она «пытается использовать команду sudo без пароля, а затем пытается использовать ее в любом случае. Даже без прав root она уничтожае все, что принадлежит пользователю. На последнем этапе TeamPCP переместилась в экосистему PyPI, включив в свой проект LiteLLM - библиотеку Python с открытым исходным кодом и прокси-сервер, который ежемесячно скачивают более 95 миллионов раз. В версии LiteLLM 1.82.7 и 1.82.8 было внедрено то же самое вредоносное ПО для кражи информации и распространения вредоносных программ, что и в других атаках TeamPCP, с той же целью: компрометация ценных учетных данных для получения широкого доступа. Как пояснили в EndorLabs, вредоносный код в LiteLLM 1.82.8 срабатывает при каждом запуске Python в среде и работает незаметно в фоновом режиме, не задерживая запуск Python. LiteLLM, используемый в качестве единого интерфейса между приложениями и поставщиками услуг ИИ (Anthropic, Google и OpenAI), поддерживает более 100 API LLM и, как правило, имеет доступ к конфиденциальной информации, такой как ключи API и переменные среды. Sonatype отмечает, что масштаб данных, на которые нацелено вредоносное ПО, подчеркивает глубокую взаимосвязь современных сред разработки - от локальных машин и конвейеров CI/CD до облачной инфраструктуры. Одна скомпрометированная зависимость может привести к утечке учетных данных в нескольких системах, что значительно увеличивает потенциальный радиус поражения. Взлом LiteLLM предоставил злоумышленникам доступ ко всем секретам, к которым имеет доступ эта библиотека, и последствия атаки масштабны: по данным Vx-Underground, было похищено около 300 ГБ данных примерно с 500 000 зараженных машин. В свою очередь, в ReversingLabs полагают, что хакеры, вероятно, взломали аккаунт GitHub соучредителя и гендиректора LiteLLM Криша Дхолакии 23 марта, а затем на следующий день автоматизированным способом взломали репозитории LiteLLM на GitHub. Помимо распространения на многочисленные сообщества открытого программного обеспечения, TeamPCP перешла в фазу монетизации. Группа открыто берет на себя ответственность за атаки и, по всей видимости, сотрудничает с Lapsus$ для извлечения финансовой выгоды. В Socket отметили, что TeamPCP хвасталась взломом Trivy, атаками на GitHub Actions, инцидентом с расширениями OpenVSX и взломом PyPI, заявляя о явной ориентации на инструменты безопасности и ключевые точки в экосистеме открытого исходного кода. TeamPCP, по всей видимости, намерена продолжать свою кампанию и обещает «красть терабайты коммерческих секретов вм