Home
Mga Balita
Mga Detalye

Nasira ng PyPI supply chain attack ang litellm, nasa panganib ang mga sensitibong kredensyal

iconChaincatcher
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconSummary

expand icon
Kinabiguan ni litellm ang isang supply chain attack sa PyPI, na nag-expose ng sensitibong credentials tulad ng SSH keys at Kubernetes configs. Ang masasamang package, na i-download 97 milyon beses bawat buwan, ay tinanggal pagkatapos mag-trigger ng system crashes. Ipapakita ng insidente kung paano maaaring magkalat ang mga exploit na estilo ng reentrancy attack sa pamamagitan ng on-chain data at third-party dependencies. Inaanyayahan ang mga developer na i-audit ang kanilang dependencies at i-secure ang access sa cloud at infrastructure keys.

Ayon sa ChainCatcher, sinabi ni Andrej Karpathy sa platform na X na kinatawan ng litellm ang isang供应链 attack sa PyPI, kung saan ang pagpapatakbo lamang ng pip install litellm ay maaaring magtala ng SSH keys, AWS/GCP/Azure credentials, Kubernetes configuration, git credentials, environment variables, encrypted wallets, SSL private keys, CI/CD keys, at database passwords. May 97 milyong downloads buwan-buwan ang litellm, at ang panganib ay maaaring magkalat sa lahat ng mga proyekto na nakadepende sa litellm, tulad ng dspy. Ang nakapaloob na masamang code ay naging available sa loob ng higit sa isang oras, at natuklasan dahil sa isang kamalian sa attack code na nagresulta sa pag-crash ng machine ni Callum McMahon dahil sa pagkawala ng memorya. Sinabi ni Andrej Karpathy na ang supply chain attack ay isa sa pinakamalaking banta sa modernong software, at bawat pag-install ng dependency ay maaaring magdulot ng naka-ugnay na modified package sa malalim na bahagi ng dependency tree, kaya't mas nagiging nakatuon siya sa pagbabawas ng mga dependency at paggamit ng LLM upang direktang i-implement ang mga simpleng function.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.