Halaman Utama
Berita
Butiran

litellm Mengalami Serangan Rantai Pemasokan PyPI, Kredensial Sensitif Berisiko

iconChaincatcher
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
litellm mengalami serangan rantai bekalan PyPI, yang mengakibatkan paparan kredensial sensitif seperti kunci SSH dan konfigurasi Kubernetes. Paket jahat yang dimuat turun 97 juta kali sebulan telah ditarik balik selepas memicu kegagalan sistem. Insiden ini menunjukkan bagaimana eksploit berjenis serangan reentrancy boleh merebak melalui data pada rantai dan ketergantungan pihak ketiga. Pembangun digalakkan untuk mengaudit ketergantungan dan mengamankan akses kepada kunci awan dan infrastruktur.

ChainCatcher melaporkan, Andrej Karpathy menulis di platform X bahawa litellm mengalami serangan rantai pasokan PyPI, di mana hanya dengan menjalankan pip install litellm, kunci SSH, kredensial AWS/GCP/Azure, konfigurasi Kubernetes, kredensial git, pemboleh ubah persekitaran, dompet kripto, kunci私 SSL, kunci CI/CD, dan kata laluan pangkalan data boleh dicuri. litellm mempunyai jumlah muat turun bulanan sebanyak 97 juta kali, dan risiko ini akan merebak ke semua projek yang bergantung pada litellm, seperti dspy. Versi yang dimasuki kod jahat dilancarkan kurang daripada satu jam, dan dikesan kerana kecacatan dalam kod serangan menyebabkan memori mesin Callum McMahon habis dan gagal. Andrej Karpathy menyatakan bahawa serangan rantai pasokan adalah masalah paling mengancam dalam perisian moden, di mana setiap pemasangan bergantung boleh memperkenalkan pakej yang telah dimanipulasi di kedalaman pokok bergantung; oleh itu, dia semakin cenderung mengurangkan ketergantungan dan beralih kepada menggunakan LLM untuk mengimplementasikan fungsi ringkas secara langsung.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.