Главная
Новости
Подробнее

litellm подвергся атаке цепочки поставок через PyPI, чувствительные учетные данные под угрозой

iconChaincatcher
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
litellm столкнулся с атакой на цепочку поставок PyPI, в результате которой были раскрыты чувствительные учетные данные, такие как SSH-ключи и конфигурации Kubernetes. Зловредный пакет, скачиваемый 97 миллионов раз в месяц, был удален после вызова сбоев в системе. Инцидент демонстрирует, как эксплойты, подобные атакам через повторный вызов, могут распространяться через данные в цепочке блоков и сторонние зависимости. Разработчикам рекомендуется проводить аудит зависимостей и обеспечивать безопасность доступа к облачным и инфраструктурным ключам.

ChainCatcher сообщает, что Андрей Карпати опубликовал сообщение на платформе X, в котором заявил, что litellm подвергся атаке на цепочку поставок PyPI: достаточно выполнить команду pip install litellm, чтобы украсть SSH-ключи, учетные данные AWS/GCP/Azure, конфигурации Kubernetes, учетные данные git, переменные среды, криптокошельки, SSL-приватные ключи, ключи CI/CD и пароли баз данных. Ежемесячное количество загрузок litellm достигает 97 миллионов, и риск распространяется на все проекты, зависящие от litellm, например, dspy. Вредоносный код был внедрен в версию менее чем за час, и его обнаружили из-за ошибки в атакующем коде, приведшей к исчерпанию памяти и сбою машины Callum McMahon. Андрей Карпати отметил, что атаки на цепочку поставок — это одна из самых серьезных угроз в современном программном обеспечении: каждая установка зависимости может внести скомпрометированный пакет глубоко в дерево зависимостей, поэтому он все больше склоняется к уменьшению зависимостей и использованию LLM для прямой реализации простых функций.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.