За даними 1M AI News, один із засновників OpenAI Андрій Карпатій написав, що атака на ланцюг постачання інструменту розробки AI-агентів LiteLLM — це «найбільш жахливий випадок у сучасному програмному забезпеченні». Два заражені випуски v1.82.7 та v1.82.8 LiteLLM, який має 97 мільйонів завантажень на місяць, вже видалено з PyPI.
Одна команда pip install litellm достатня, щоб вкрасти SSH-ключі, облікові дані хмарних сервісів AWS/GCP/Azure, конфігурації Kubernetes, облікові дані git, змінні оточення (включаючи всі API-ключі), історію оболонки, криптовалютні гаманці, SSL-приватні ключі, ключі CI/CD та паролі баз даних. Зловмисний код упаковує дані за допомогою 4096-бітного RSA-шифрування та відправляє їх на фальшивий домен models.litellm.cloud, а також намагається створити контейнер із привілеями в просторі імен kube-system кластера Kubernetes для встановлення постійного бекдору.
Ще небезпечнішим є зараження: будь-який проект, що залежить від LiteLLM, також буде уражений, наприклад `pip install dspy` (залежить від litellm>=1.64.0), що також запускає шкідливий код. Заражена версія існувала на PyPI лише близько години, перш ніж її було виявлено — причина досить іронічна: у власному шкідливому коді атакувача був баг, що призводив до вичерпання пам’яті та аварійного завершення. Розробник Callum McMahon, який використовував MCP-плагін у інструменті AI-програмування Cursor, отримав LiteLLM як переданий залежний пакет; після встановлення його машина одразу зламалася, що і розкрило атаку. Карпатський прокоментував: «Якби атакувачі не використовували vibe code, цю атаку можна було б не виявити протягом кількох днів або навіть тижнів».
Зловмисна група TeamPCP проникла наприкінці лютого, використовуючи вразливість у конфігурації сканера Trivy в CI/CD-каналі LiteLLM у GitHub Actions, щоб викрасти токени публікації PyPI, а потім обійти GitHub і безпосередньо завантажити шкідливі версії на PyPI. Кріш Долакія, генеральний директор Berri AI, який підтримує LiteLLM, повідомив, що всі токени публікації були видалені, а планується перехід на надійний механізм публікації на основі JWT. PyPA опублікувала попередження безпеки PYSEC-2026-2, рекомендуючи всім користувачам, які встановили вразливі версії, припустити, що всі облікові дані в їх середовищі були скомпрометовані, і негайно змінити їх.
Атака шкідливого ПЗ LiteLLM, розкрита Андрієм Карпаті: краде ключі API та облікові дані хмари
ChainthinkПоділитися
Короткий зміст
Малвар LiteLLM використовується в атаках, пов’язаних із новинами в мережі, зловмисні версії v1.82.7 та v1.82.8 крадуть ключі API та облікові дані хмари. Зловмисники використовували RSA-зашифровані канали для виведення даних на фальшивий домен і намагалися встановити бекдори в кластерах Kubernetes. Порушення виникло через неправильну конфігурацію GitHub Actions, яку використав TeamPCP, що вкрав токени випуску PyPI. LiteLLM скасував усі токени і перейде на публікацію на основі JWT. PyPA випустила попередження PYSEC-2026-2, закликавши користувачів вважати всі облікові дані скомпрометованими. Дані про інфляцію залишаються другорядними у цей період кризи безпеки.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.