Accueil
Actualités
Détails

litellm subit une attaque de chaîne d'approvisionnement sur PyPI, des identifiants sensibles sont en danger

iconChaincatcher
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
litellm a subi une attaque de chaîne d'approvisionnement sur PyPI, exposant des informations sensibles telles que des clés SSH et des configurations Kubernetes. Le package malveillant, téléchargé 97 millions de fois par mois, a été retiré après avoir provoqué des pannes système. Cet incident démontre comment les exploits de type attaque de réentrance peuvent se propager via des données sur chaîne et des dépendances tierces. Les développeurs sont invités à auditer leurs dépendances et à sécuriser l'accès aux clés cloud et infrastructure.

ChainCatcher rapporte qu'Andrej Karpathy a publié sur la plateforme X qu'il a subi une attaque de chaîne d'approvisionnement sur PyPI, où l'exécution de pip install litellm permettait de voler des clés SSH, des identifiants AWS/GCP/Azure, des configurations Kubernetes, des identifiants git, des variables d'environnement, des portefeuilles cryptographiques, des clés privées SSL, des clés CI/CD et des mots de passe de base de données. litellm enregistre 97 millions de téléchargements mensuels, et le risque se propage à tous les projets dépendant de litellm, comme dspy. La version infectée par le code malveillant a été en ligne moins d'une heure, avant d'être découverte car un défaut dans le code d'attaque a provoqué la saturation de la mémoire et un plantage de la machine de Callum McMahon. Andrej Karpathy a déclaré que les attaques de chaîne d'approvisionnement constituent le problème le plus menaçant dans le logiciel moderne, chaque installation de dépendance pouvant introduire en profondeur dans l'arbre des dépendances un paquet altéré ; il tend donc de plus en plus à réduire ses dépendances et à utiliser directement les LLM pour implémenter des fonctions simples.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.