# Škodlivý kód v LiteLLM: Kradoucí program API klíčů se aktivoval při spuštění Pythonu
Kompromitace balíčku LiteLLM verzí 1.82.7 a 1.82.8 ohrozila tisíce vývojářů. Balíček nainstalovaný z PyPI (97 milionů stažení měsíčně) obsahoval kradoucí program, který kradl SSH klíče, tokeny AWS, GCP, Azure, konfigurace Kubernetes, kryptoměnové peněženky a všechny proměnné prostředí. Je to brána pro 100+ poskytovatelů LLM, včetně OpenAI a Anthropic. Kompromitované verze byly odstraněny, bezpečná je 1.82.6.
Mechanismus útoku
Škodlivý kód se aktivoval automaticky:
- Verze 1.82.8: spuštění při každém startu Pythonu prostřednictvím .pth souborů, nezávisle na importu knihovny. Jakýkoli skript aktivoval kradoucí program.
- Verze 1.82.7: aktivace pouze při importu LiteLLM do kódu.
Shromážděné údaje byly šifrovány a odesílány na models.litellm.cloud – doménu maskovanou pod litellm.ai. Ve verzi 1.82.8 chyba v malwaru způsobovala fork bombu: vytváření dceřiných procesů při každém spuštění Pythonu, což vedlo k vyčerpání RAM a odhalení.
Kompromitace nastala prostřednictvím transitivní závislosti v MCP plug-inu IDE Cursor. Bez chyby by kradoucí program pracoval skrytě.
Atribuce útoku
Útok se připisuje skupině TeamPCP. Během týdne v březnu 2026:
- Kompromitace Trivy (Aqua Security).
- Checkmarx a KICS.
- LiteLLM (BerriAI).
Vzor: prolomení účtu maintainera, publikace škodlivé verze, vícekrokový kradoucí program. V repozitáři BerriAI – commit „TeamPCP owns BerriAI“, issue #24512 uzavřeno útočníky.
Doporučení pro kontrolu a obnovení
- Nahradit všechny klíče: SSH, AWS/GCP/Azure tokeny, K8s konfigurace, kryptoměnové peněženky, proměnné prostředí.
- Zkontrolovat CI/CD: přítomnost
pip install litellmbez fixace verze mohla stáhnout škodlivou verzi. - Audit strojů: kde byl balíček instalován, i bez použití.
- Monitorování: provoz směřující na models.litellm.cloud.
LiteLLM spravuje API klíče LLM, což ho učinilo ideálním cílem.
Co je důležité
- Kradl všechny proměnné prostředí při spuštění Pythonu (1.82.8).
- 97 milionů stažení/měsíc – rozsah hrozby.
- Automatická aktivace bez importu knihovny.
- Série útoků TeamPCP na vývojářské nástroje.
- Ironie: brána pro LLM klíče kompromitována.
— Editorial Team
Zatím žádné komentáře.