Laut 1M AI News hat Mitbegründer von OpenAI, Andrej Karpathy, einen Beitrag veröffentlicht, in dem er die Lieferkettenangriffe auf das KI-Proxy-Entwicklungstool LiteLLM als „eines der schlimmsten Dinge in moderner Software“ bezeichnet. LiteLLM wurde monatlich 97 Millionen Mal heruntergeladen, und die beiden infizierten Versionen v1.82.7 und v1.82.8 wurden aus PyPI entfernt.
Allein ein Befehl wie pip install litellm reicht aus, um SSH-Schlüssel, AWS/GCP/Azure-Cloud-Zugangsdaten, Kubernetes-Konfigurationen, Git-Zugangsdaten, Umgebungsvariablen (einschließlich aller API-Schlüssel), Shell-Historie, Wallets, SSL-Privatschlüssel, CI/CD-Schlüssel und Datenbankpasswörter zu stehlen. Der bösartige Code verschlüsselt die Daten mit 4096-Bit-RSA, verpackt sie und sendet sie an eine getarnte Domain, models.litellm.cloud. Zudem versucht er, in der Kubernetes-Cluster-Namespace kube-system privilegierte Container zu erstellen, um einen dauerhaften Hintertürzugang zu installieren.
Noch gefährlicher ist die Infektiosität: Jedes Projekt, das auf LiteLLM angewiesen ist, kann infiziert werden. Zum Beispiel löst der Befehl pip install dspy (abhängig von litellm>=1.64.0) ebenfalls den bösartigen Code aus. Die infizierten Versionen wurden auf PyPI nur etwa eine Stunde lang entdeckt, was ironisch ist, da der Angreifer selbst einen Bug in seinem bösartigen Code eingebaut hat, der zu Speicherüberlauf und Absturz führt. Entwickler Callum McMahon, der ein MCP-Plugin in seinem AI-Programmierwerkzeug Cursor verwendete, wurde durch die Abhängigkeit von LiteLLM infiziert, was zum Absturz seines Systems führte und den Angriff offenlegte. Karpathy kommentierte: „Wenn die Angreifer keinen vibe code für diesen Angriff verwenden, könnte es Tage oder sogar Wochen dauern, bis er entdeckt wird.“
Die Angreifergruppe TeamPCP nutzte Ende Februar eine Schwachstelle im Trivy-Scanner in der CI/CD-Pipeline auf GitHub Actions aus, um einzudringen, PyPI-Token zu stehlen und anschließend direkt auf PyPI bösartige Versionen hochzuladen. Der Betreiber von LiteLLM, Krrish Dholakia, CEO von Berri AI, gab an, alle Veröffentlichungstoken gelöscht zu haben und plant, auf ein vertrauenswürdiges Veröffentlichungsmechanismus basierend auf JWT umzusteigen. PyPA veröffentlichte die Sicherheitsmeldung PYSEC-2026-2 und empfiehlt allen Nutzern, die betroffenen Versionen installiert haben, davon auszugehen, dass alle Zugangsdaten kompromittiert wurden, und sofort alle Passwörter zu ändern.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
