pip install ขโมยคีย์ทั้งหมด: Karpathy เรียก LiteLLM poisoning ว่า "สิ่งที่น่ากลัวที่สุดในวงการซอฟต์แวร์"

จากการตรวจสอบของ 1M AI News สมาชิกผู้ก่อตั้ง OpenAI Andrej Karpathy โพสต์ว่า เครื่องมือพัฒนาเอเจนต์ AI LiteLLM ที่ถูกโจมตีทางซัพพลายเชนเป็น “สิ่งที่น่ากลัวที่สุดในซอฟต์แวร์สมัยใหม่” ยอดดาวน์โหลดต่อเดือนของ LiteLLM อยู่ที่ 97 ล้านครั้ง เวอร์ชัน v1.82.7 และ v1.82.8 ที่ติดมัลแวร์ได้ถูกถอดออกจาก PyPI แล้ว

เพียงคำสั่ง pip install litellm ก็สามารถขโมยคีย์ SSH, ข้อมูลรับรองคลาวด์ AWS/GCP/Azure, การตั้งค่า Kubernetes, คีย์ git, ตัวแปรสิ่งแวดล้อม (รวมถึงคีย์ API ทั้งหมด), ประวัติคำสั่ง shell, กระเป๋าเงินเข้ารหัส, คีย์ SSL, คีย์ CI/CD และรหัสผ่านฐานข้อมูล ข้อมูลมัลแวร์ถูกบรรจุด้วยการเข้ารหัส RSA 4096 บิตและส่งออกไปยังโดเมนปลอม models.litellm.cloud นอกจากนี้ยังพยายามสร้างคอนเทนเนอร์สิทธิ์สูงใน namespace kube-system ของ Kubernetes เพื่อฝัง backdoor ถาวร

ความอันตรายที่เพิ่มขึ้นคือความสามารถในการแพร่เชื้อ: โครงการที่พึ่งพา LiteLLM ก็เสี่ยงต่อการติดเชื้อ เช่น การติดตั้ง dspy (ซึ่งขึ้นอยู่กับ litellm>=1.64.0) ก็จะเรียกใช้โค้ดมัลแวร์เช่นกัน เวอร์ชันที่ติดมัลแวร์บน PyPI ถูกตรวจพบภายในประมาณ 1 ชั่วโมง ซึ่งเป็นเรื่องน่าขันเพราะโค้ดมัลแวร์ของแฮกเกอร์เองมีบั๊ก ทำให้เกิดการล่มของหน่วยความจำ นักพัฒนา Callum McMahon ขณะใช้ปลั๊กอิน MCP ในเครื่องมือเขียนโปรแกรม AI Cursor ก็พบว่า LiteLLM ถูกดึงเข้าเป็น dependency ส่งผลให้เครื่องค้างทันที ซึ่งเป็นการเปิดเผยการโจมตีนี้ Karpathy กล่าวไว้ว่า “ถ้าแฮกเกอร์ไม่มี vibe code ในการโจมตีครั้งนี้ มันอาจไม่ถูกค้นพบเป็นเวลาหลายวันหรือหลายสัปดาห์”

กลุ่มโจมตี TeamPCP ในปลายเดือนกุมภาพันธ์ ใช้ช่องโหว่ Trivy ใน CI/CD pipeline ของ LiteLLM ที่ตั้งค่าผิดพลาดใน GitHub Actions เข้าถึงและขโมยโทเค็นปล่อยบน PyPI จากนั้นก็ข้าม GitHub ไปอัปโหลดเวอร์ชันมัลแวร์โดยตรงไปยัง PyPI ตัวแทนดูแลของ LiteLLM Berri AI ซีอีโอ Krrish Dholakia กล่าวว่าได้ลบโทเค็นปล่อยทั้งหมดแล้ว และวางแผนเปลี่ยนไปใช้กลไกการปล่อยที่เชื่อถือได้บน JWT PyPA ได้ออกประกาศความปลอดภัย PYSEC-2026-2 แนะนำให้ผู้ใช้ที่ติดตั้งเวอร์ชันที่ได้รับผลกระทบเปลี่ยนรหัสผ่านโดยเร็วที่สุด คาดว่าอาจมีข้อมูลรับรองรั่วไหลในสภาพแวดล้อมและควรเปลี่ยนทันที