За даними моніторингу 1M AI News, засновник OpenAI Анджей Карпати опублікував повідомлення, що інструмент для розробки AI-агентів LiteLLM зазнав атаки через ланцюг поставок, яка є «майже найжахливішою подією у сучасному програмному забезпеченні». Щомісячне завантаження LiteLLM становить 97 мільйонів разів, а версії v1.82.7 та v1.82.8 зловмисно видалені з PyPI.
Достатньо лише виконати команду pip install litellm, щоб викрасти SSH-ключі, облікові дані AWS/GCP/Azure, конфігурації Kubernetes, git-ключі, змінні середовища (включаючи всі API-ключі), історію shell, криптогаманці, SSL-приватні ключі, ключі CI/CD та паролі баз даних. Зловмисний код шифрує дані за допомогою RSA 4096 біт та передає їх на підроблений домен models.litellm.cloud, а також намагається створити привілейовані контейнери у просторі імен kube-system Kubernetes-кластеру для встановлення постійного бекдору.
Ще більш небезпечним є поширення інфекції: будь-який проект, що залежить від LiteLLM, також заражається. Наприклад, команда pip install dspy (залежить від litellm>=1.64.0) також активує зловмисний код. Заражені версії були виявлені на PyPI приблизно через годину після публікації, що є досить іронічним: зловмисний код атаки містив баг, через який він викликав витік пам’яті та аварійне завершення роботи. Розробник Каллум МакМахон, використовуючи плагін MCP у інструменті AI-програмування Cursor, натрапив на проблему, коли LiteLLM був доданий як залежність, і після встановлення його комп’ютер одразу завис. Це розкриває масштаби атаки. Карпати прокоментував: «Якщо зловмисники не використовували vibe code для цієї атаки, її виявлення могло б зайняти кілька днів або навіть тижнів.»
Організація TeamPCP наприкінці лютого використала вразливість Trivy у CI/CD-процесі LiteLLM у GitHub Actions для проникнення, викравши токен для публікації на PyPI. Після цього вони обійшли GitHub і безпосередньо завантажили зловмисні версії на PyPI. Представник Berri AI, керівник Krrish Dholakia, заявив, що всі публікаційні токени були видалені, і планує перейти на систему довірених публікацій на основі JWT. PyPA випустила безпекове повідомлення PYSEC-2026-2, яке рекомендує всім користувачам, що встановили уразливі версії, припустити, що всі їхні облікові дані були скомпрометовані, і негайно їх змінити.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
