Согласно мониторингу 1M AI News, один из основателей OpenAI Андрея Карпати заявил в посте, что атака на цепочку поставок инструмента разработки AI-агентов LiteLLM — «самое страшное, что когда-либо происходило в современном программном обеспечении». Два заражённых выпуска v1.82.7 и v1.82.8 LiteLLM, ежемесячно скачиваемого 97 миллионов раз, уже удалены с PyPI.
Одна команда pip install litellm достаточно, чтобы украсть SSH-ключи, учетные данные облаков AWS/GCP/Azure, конфигурации Kubernetes, учетные данные git, переменные среды (включая все API-ключи), историю оболочки, криптокошельки, SSL-приватные ключи, ключи CI/CD и пароли баз данных. Вредоносный код упаковывает данные с помощью 4096-битного RSA и отправляет их на поддельный домен models.litellm.cloud, а также пытается создать контейнер с привилегиями в пространстве имен kube-system Kubernetes-кластера для внедрения постоянного бэкдора.
Еще более опасной является заразность: любой проект, зависящий от LiteLLM, также будет затронут, например, `pip install dspy` (зависит от litellm>=1.64.0), который также запускает вредоносный код. Вредоносная версия существовала на PyPI всего около одного часа, прежде чем была обнаружена — причина была довольно ироничной: в собственном вредоносном коде атакующих был баг, приводивший к исчерпанию памяти и сбою. Разработчик Callum McMahon столкнулся с этим, когда использовал MCP-плагин в инструменте AI-программирования Cursor, где LiteLLM был переданной зависимостью; после установки его машина сразу же аварийно завершила работу, что и раскрыло атаку. Карпати прокомментировал: «Если бы атакующие не использовали vibe code, эта атака могла бы оставаться незамеченной в течение нескольких дней или даже недель».
Организация-атакующая TeamPCP проникла в конце февраля, используя уязвимость в конфигурации сканера уязвимостей Trivy в CI/CD-конвейере LiteLLM в GitHub Actions, похитила маркеры публикации PyPI и затем загрузила вредоносные версии непосредственно на PyPI, обойдя GitHub. Генеральный директор Berri AI Криш Дхолакия, сопровождающий LiteLLM, заявил, что все маркеры публикации были удалены, и планируется переход на доверенный механизм публикации на основе JWT. PyPA выпустила предупреждение о безопасности PYSEC-2026-2, рекомендуя всем пользователям, установившим затронутые версии, предположить, что все учетные данные в их среде были скомпрометированы, и немедленно сменить их.
Атака вредоносного ПО LiteLLM, раскрытая Андреем Карпати: кража ключей API и облачных учетных данных
ChainthinkПоделиться
Сводка
LiteLLM стал мишенью вредоносной атаки, о которой сообщается в новостях блокчейна: вредоносные версии v1.82.7 и v1.82.8 крадут ключи API и учетные данные облачных сервисов. Злоумышленники использовали RSA-зашифрованные каналы для экспорта данных на фальшивый домен и пытались внедрить бэкдоры в кластеры Kubernetes. Уязвимость возникла из-за неправильной настройки GitHub Actions, которой воспользовалась группа TeamPCP, похитившая токены выпуска на PyPI. LiteLLM отозвал все токены и перейдет на публикацию на основе JWT. PyPA выпустила предупреждение PYSEC-2026-2, призывая пользователей считать все учетные данные скомпрометированными. Данные об инфляции остаются второстепенными на фоне этого кризиса безопасности.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.