litellm کو PyPI سپلائی چین حملہ کا نشانہ بنایا گیا، حساس اعتماد کی تفصیلات خطرے میں

ChainCatcher کی رپورٹ کے مطابق، اینڈری کارپاتھی نے X پلیٹ فارم پر ایک پوسٹ کی ہے جس میں کہا گیا ہے کہ litellm پر PyPI سپلائی چین حملہ ہوا ہے، جس کے لیے صرف pip install litellm کرنے سے SSH کلیدیں، AWS/GCP/Azure اعتمادیں، Kubernetes کنفیگریشن، git اعتمادیں، ماحولیاتی متغیرات، ایکرپٹ والٹ، SSL پرائیویٹ کلیدیں، CI/CD کلیدیں اور ڈیٹا بیس پاس ورڈز چوری کیے جا سکتے ہیں۔ litellm کا ماہانہ ڈاؤن لوڈ 97 ملین ہے، اور یہ خطرہ litellm پر منحصر تمام منصوبوں، جیسے dspy، تک پھیل جائے گا۔ مضر کوڈ والی ورژن صرف تقریباً ایک گھنٹے کے لیے آن لائن رہی، جب تک کہ حملے کے کوڈ میں خرابی کی وجہ سے Callum McMahon کے مشین کا میموری ختم ہو کر کرشر ہو گیا اور یہ دریافت ہوا۔ اینڈری کارپاتھی نے کہا کہ سپلائی چین حملے جدید نرم افزار میں سب سے بڑا خطرہ ہیں، جہاں ہر بار ڈپینڈنسی انسٹال کرنے سے ڈپینڈنسی ٹری کے گہرائی میں بدل گئے سافٹ ویئر شامل ہو سکتے ہیں، اس لیے وہ اب مزید ڈپینڈنسیز کم استعمال کرنے اور LLMs کا استعمال کرکے آسان فنکشنز براہ راست حاصل کرنے کی طرف زیادہ رجحان رکھتے ہیں۔