Член OpenAI Карпатий указал, что инструмент разработки LiteLLM подвергся атаке цепочки поставок, в результате чего конфиденциальная информация пользователей, включая SSH-ключи, была украдена. Зараженная версия удалена из PyPI, вредоносный код мог вызвать массовую утечку данных при простой установке, атака существовала около 1 часа после обнаружения. Разработчики приняли меры для предотвращения повторных инцидентов.

Библиотека LiteLLM Python AI шлюз подверглась атаке на цепочку поставок PyPI. Злоумышленники могут перехватить конфиденциальную информацию пользователей через команду pip install litellm, включая SSH-ключи, учетные данные облачных сервисов, конфигурации Kubernetes и Git-учетные данные.