Beranda
Berita
Detail

litellm Mengalami Serangan Rantai Pasok PyPI, Kredensial Sensitif Berisiko

iconChaincatcher
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
litellm mengalami serangan rantai pasokan di PyPI, yang mengekspos kredensial sensitif seperti kunci SSH dan konfigurasi Kubernetes. Paket jahat tersebut, yang diunduh 97 juta kali per bulan, ditarik setelah memicu kegagalan sistem. Insiden ini menunjukkan bagaimana eksploitasi bergaya serangan reentrancy dapat menyebar melalui data on-chain dan dependensi pihak ketiga. Para pengembang diminta untuk mengaudit dependensi dan mengamankan akses terhadap kunci cloud dan infrastruktur.

ChainCatcher melaporkan, Andrej Karpathy memposting di platform X bahwa litellm mengalami serangan rantai pasokan di PyPI, di mana hanya dengan menjalankan pip install litellm dapat mencuri kunci SSH, kredensial AWS/GCP/Azure, konfigurasi Kubernetes, kredensial git, variabel lingkungan, dompet kripto, kunci privat SSL, kunci CI/CD, dan kata sandi database. litellm memiliki jumlah unduhan bulanan sebesar 97 juta kali, dan risiko ini akan menyebar ke semua proyek yang bergantung pada litellm, seperti dspy. Versi yang telah disusupi kode jahat dirilis kurang dari sekitar 1 jam sebelum ditemukan karena cacat pada kode serangan yang menyebabkan memori mesin Callum McMahon habis dan crash. Andrej Karpathy menyatakan bahwa serangan rantai pasokan adalah masalah paling mengancam dalam perangkat lunak modern, di mana setiap pemasangan dependensi dapat memperkenalkan paket yang telah dimodifikasi di kedalaman pohon dependensi; oleh karena itu, ia semakin cenderung mengurangi dependensi dan beralih ke penggunaan LLM untuk secara langsung mengimplementasikan fungsi sederhana.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.