ChainCatcher informa que Andrej Karpathy publicó en la plataforma X que litellm sufrió un ataque de cadena de suministro en PyPI, donde solo con ejecutar pip install litellm se pueden robar claves SSH, credenciales de AWS/GCP/Azure, configuraciones de Kubernetes, credenciales de git, variables de entorno, billeteras criptográficas, claves privadas SSL, claves de CI/CD y contraseñas de bases de datos. litellm tiene 97 millones de descargas mensuales, y el riesgo se extiende a todos los proyectos que dependen de litellm, como dspy. La versión con código malicioso estuvo en línea por menos de una hora, hasta que se descubrió debido a un defecto en el código de ataque que agotó la memoria de la máquina de Callum McMahon y la hizo colapsar. Andrej Karpathy señaló que los ataques de cadena de suministro son el problema más amenazante en el software moderno, ya que cada instalación de una dependencia puede introducir paquetes manipulados en profundidades del árbol de dependencias; por ello, cada vez prefiere reducir las dependencias y utilizar LLM para implementar directamente funciones simples.
litellm sufre un ataque de cadena de suministro en PyPI, credenciales sensibles en riesgo
ChaincatcherCompartir
Resumen
litellm sufrió un ataque a la cadena de suministro de PyPI, exponiendo credenciales sensibles como claves SSH y configuraciones de Kubernetes. El paquete malicioso, descargado 97 millones de veces al mes, fue retirado tras provocar caídas del sistema. El incidente demuestra cómo los exploits de tipo ataque de reentrada pueden propagarse a través de datos en cadena y dependencias de terceros. Se insta a los desarrolladores a auditar las dependencias y asegurar el acceso a claves de nube e infraestructura.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.