Zpět na domů

Hack LiteLLM: útok na PyPI a únik Mercor

Hacker skupina TeamPCP kompromitovala LiteLLM přes Trivy, zveřejnila škodlivé verze na PyPI. Útok vedl k úniku tajemství a 4 TB dat Mercor. Materiál rozebírá mechanismus, důsledky a opatření k ochraně pro vývojáře.

Hackeři prolomili LiteLLM: 97 milionů instalací ohroženo
Advertisement 728x90

# Útok na dodavatelský řetězec LiteLLM: jak hackeři prolomili AI-startup Mercor

AI platforma Mercor, specializující se na nábor pro trénink modelů AI, byla zasažena útokem prostřednictvím kompromitace Python knihovny LiteLLM. Incident postihl platformu s valuací 10 miliard USD, která denně vyplácí kontraktorům více než 2 miliony USD. Hackeři kompromitovali Trivy, získali přístup k PyPI a zveřejnili škodlivé verze 1.82.7 a 1.82.8 knihovny, která slouží jako proxy pro API LLM.

Mechanismus útoku přes PyPI

Útok začal 24. března: skupina TeamPCP prolomila skener zranitelností Trivy, získala token pro publikování a nahrála infikované balíčky LiteLLM. Knihovna se stahuje 97 milionůkrát měsíčně a slouží jako unifikovaný rozhraní k modelům OpenAI, Anthropic a dalším.

Škodlivý kód se aktivoval při instalaci, bez nutnosti importu litellm. Extrahoval:

Google AdInline article slot
  • SSH klíče;
  • Cloudové přihlašovací údaje;
  • Kubernetes tajemství;
  • API klíče poskytovatelů.

Objevení proběhlo kvůli chybě v malwaru: .pth soubor způsobil rekurzivní fork procesů, což vedlo k fork bombě. To znefunkčnilo systém inženýra FutureSearch a odhalilo incident.

Důsledky pro Mercor a ekosystém

Skupina Lapsus$ prohlásila o krádeži 4 TB dat Mercor přes Tailscale VPN. Dump obsahuje:

  • 939 GB zdrojového kódu;
  • 211 GB databáze uživatelů;
  • 3 TB videozáznamů pohovorů a dokumentů ověření.

Analýza vzorků ukázala data ze Slacku, ticketových systémů a logů AI agenta. Mercor potvrdila lokalizaci incidentu a odmítla komentovat únik dat klientů. LiteLLM odstranila verze, pozastavila vydání a změnila poskytovatele compliance na Vanta.

Google AdInline article slot

Jedná se o součást kampaně TeamPCP: dříve byla kompromitována Axios v npm, celkový počet balíčků přesahuje 60 v různých registrech.

Zranitelnosti dodavatelského řetězce v Python ekosystému

LiteLLM jako proxy pro LLM-API je klíčové pro AI aplikace. Útok demonstruje rizika:

  • Závislost na otevřených balíčcích bez ověření;
  • Chybějící sandboxing při instalaci;
  • Rozsah šíření (97 milionů instalací/měsíc).

Vývojářům se doporučuje:

Google AdInline article slot
  • Kontrolovat haše balíčků před instalací;
  • Používat virtuální prostředí s fixovanými verzemi;
  • Monitorovat závislosti nástroji jako Dependabot nebo Snyk;
  • Auditovat dodavatelský řetězec pomocí SLSA frameworku.

Co je důležité

  • Rozsah hrozby: Jedna kompromitovaná závislost postihla tisíce AI projektů, které používají LiteLLM jako bránu k LLM.
  • Technické detaily: Malware kradl tajemství při pip install, bez runtime importu, přes mechanismus .pth.
  • Reakce: PyPI odstranil balíčky, LiteLLM provádí audit; Mercor najala kriminalisty.
  • Širší kontext: Kampaň TeamPCP postihla >60 balíčků, včetně npm.

Incident podtrhuje nutnost zero-trust v bezpečnosti dodavatelského řetězce pro AI infrastrukturu.

— Editorial Team

Advertisement 728x90

Číst dál