clauding.de
EN
2 Min. Lesezeit KI-generiert

LiteLLM gehackt: Supply-Chain-Angriff trifft tausende KI-Entwickler

Artikel als Markdown kopieren

Ein Angreifer hat manipulierte LiteLLM-Pakete auf PyPI hochgeladen. Wer die betroffenen Versionen installiert hat, sollte sofort alle Zugangsdaten rotieren.

Security LiteLLM Supply Chain PyPI Developer
Featured image for "LiteLLM gehackt: Supply-Chain-Angriff trifft tausende KI-Entwickler"

Wenn du LiteLLM in deinen Projekten nutzt, solltest du jetzt aufmerksam werden. Am 24. März hat eine Hackergruppe namens TeamPCP manipulierte Versionen des beliebten Python-Pakets auf PyPI veröffentlicht. Die betroffenen Versionen 1.82.7 und 1.82.8 waren etwa drei Stunden lang verfügbar — und enthielten einen Credential-Stealer.

Was passiert ist

LiteLLM ist ein weit verbreiteter Proxy, der verschiedene LLM-APIs unter einer einheitlichen Schnittstelle zusammenfasst. Tausende Entwickler nutzen das Paket, um zwischen Claude, GPT und anderen Modellen zu wechseln.

Der Angriff lief raffiniert ab: TeamPCP hatte zuvor die Zugangsdaten des LiteLLM-Maintainers erbeutet — über eine kompromittierte GitHub Action von Aqua Securitys Trivy-Scanner. Mit diesen Credentials haben die Angreifer die manipulierten Pakete direkt auf PyPI hochgeladen, ohne den offiziellen CI/CD-Prozess zu nutzen.

Das Schadpaket enthielt eine .pth-Datei, die sich bei jedem Python-Prozessstart automatisch ausführt. Sie sammelt Zugangsdaten und schickt sie verschlüsselt an eine Domain, die nichts mit LiteLLM zu tun hat.

Was du tun solltest

Wenn du zwischen dem 24. März und der Bereinigung LiteLLM aktualisiert hast, prüfe sofort deine installierte Version. Betroffen sind die Versionen 1.82.7 und 1.82.8.

Im schlimmsten Fall: Alle API-Keys und Zugangsdaten rotieren, die in der Umgebung verfügbar waren, in der LiteLLM lief. Das betrifft potenziell deine OpenAI-, Anthropic-, Azure- und alle anderen LLM-API-Keys.

Das größere Bild

Das war kein Einzelfall. TeamPCP führt seit Wochen eine koordinierte Supply-Chain-Kampagne. Neben LiteLLM waren auch Aqua Securitys Trivy und Checkmarx betroffen. Simon Willison hat den Fall auf seinem Blog ausführlich dokumentiert und geschätzt, dass die manipulierten Pakete etwa 47.000 Mal heruntergeladen wurden.

Für die KI-Entwickler-Community ist das ein Weckruf. Wir stecken immer mehr API-Keys in unsere Umgebungen, nutzen immer mehr Pakete — und die Supply Chain ist ein offenes Einfallstor. Pinne deine Abhängigkeiten, prüfe Hashes, und halte deine Augen offen.

Quellen: